Kripto borsası Fiatusdt, kullanıcıların KYC verilerini sızdırdı

   Mart 16, 2023  Posted in HackRead


Sunucu, herhangi bir şifre veya güvenlik doğrulaması olmadan halka açık olarak on binlerce pasaport ve kimlik kartı kopyasına erişime izin verdi.

Yakın tarihli bir haberde, Website Planet’ten Jeremiah Fowler, çevrimiçi döviz bozdurma platformu Fiatusdt’a ait açığa çıkmış bir veritabanı keşfetti. Veritabanının içerdiği kripto para müşteri adları, banka hesap numaraları, satın alma ve satış kayıtları ve diğer hassas bilgiler dahil olmak üzere satış kayıtları.

Çevrimiçi döviz borsaları, ülkeler veya şirketler arasında istikrarlı, merkezi bir ortamda dağıtım için para transferini kolaylaştıran internet tabanlı platformlardır. Fiziksel muadilleri gibi, çevrimiçi döviz borsaları da nominal bir ücret talep ederek ve/veya bir para birimindeki alış-satış marjı yoluyla para kazanır.

Açığa çıkan bilgiler arasında Müşterinizi Tanıyın (KYC) müşterilerin kimliğini kanıtlayan hassas bilgiler içerdikleri için özellikle endişe verici olan uygunluk kayıtları ve tanımlama resimleri.

Fowler, 20.000 kadar pasaport ve kimlik kartı görüntüsü görüntülediğini bildirdi. Müşteri kimlik belgelerinin, aşağıdaki ülkeler de dahil olmak üzere dünyanın her yerinden kişilere ait olduğu ortaya çıktı:

  1. Umman
  2. Çin
  3. Hindistan
  4. Malezya
  5. Avustralya
  6. Endonezya
  7. Singapur ve diğerleri.

Website Planet’e göre Blog yazısıtoplam kayıt sayısı görülemediğinden veri sızıntısından kaç kullanıcının etkilendiği ve açığa çıkan kayıtların keşfedilmeden önce herhangi biri tarafından erişilip erişilmediği henüz net değil.

Kripto borsası Fiatusdt, dünya çapındaki kullanıcıların KYC verilerini sızdırdı
Herkese açık olarak sızan klasörler ve kimlik kartlarından biri (İmaj kredisi: Website Planet)

Veritabanı ayrıca, müşteri adlarını, hesap numaralarını, e-posta adreslerini, telefon numaralarını ve diğer hassas bilgileri tanımlayan banka havalesi kayıtlarını açığa çıkaran para yatırma ve çekme miktarlarının ekran görüntülerini de içeriyordu.

Ek olarak, veritabanında işlemler için işlem kimlikleri ve cüzdan adresleri mevcuttu.

Bu veritabanı, bir yanlış yapılandırılmış AWS depolama halka açık erişime izin veren ad ve adres. Bu, veritabanının internet bağlantısı olan herkes tarafından açık ve erişilebilir olmasıyla sonuçlandı.

Şirket, sorumlu bir ifşa bildirimi yoluyla ihlal konusunda bilgilendirildi ve daha sonra veritabanına halkın erişimi kapatıldı.

  1. Kripto solucanı, kripto para madenciliği yapmak için AWS Cloud’a bulaşıyor
  2. Yanlış yapılandırılmış AWS S3 klasöründe açığa çıkan 350 milyon e-posta kimliği
  3. Pegasus Havayolları, AWS Paketinde 6,5 TB Veri Sızdırdı



Source link