Ekim 2025’in başlarında, siber güvenlik araştırmacısı Jeremiah Fowler, dünya çapında 250.000’den fazla işletme tarafından kullanılan, Viyana merkezli bir faturalandırma ve faturalandırma platformu olan Invoicely’ye ait, halka açık bir veritabanı keşfetti.
Depo, her biri hassas kişisel ve finansal bilgiler içeren XLSX, CSV, PDF ve resim formatlarında 178.519 dosya içeriyordu.
Açığa çıkan belgeler arasında faturalar, taranmış çekler, vergi beyanları ve araç paylaşımı makbuzları yer alıyor; sağlık hizmeti sağlayıcılarının, yüklenicilerin ve kurumsal ortakların isimlerini, adreslerini, telefon numaralarını, vergi kimlik numaralarını, rotalarını ve hesap ayrıntılarını açıklıyordu.
.webp)
Kayıtların çokluğu ve çeşitliliği, kimlik hırsızlığından hedef odaklı kimlik avına, fatura dolandırıcılığından yetkisiz mali işlemlere kadar olası etkileri artırdı.
İlk araştırma, veritabanının herhangi bir şifreleme veya şifre korumasından yoksun olduğunu gösterdi ve bu da veri tabanının URL yapısı hakkında temel bilgiye sahip herkese tamamen açık olduğunu gösterdi.
Invoicely’nin destek sistemi aracılığıyla Fowler’ın sorumlu açıklama bildirimini aldıktan birkaç saat sonra şirket, kamu erişimini kısıtladı.
Ancak, maruz kalma süresinin hala bilinmemesi, kaç tehdit aktörünün kontrol altına alınmadan önce verileri kopyalamış veya izlemiş olabileceği konusunda endişeleri artırıyor.
Erken risk senaryoları arasında orijinal fatura şablonları kullanılarak sahte fatura gönderimi, çalıntı tanımlayıcılardan yararlanan sahte vergi başvuruları ve gerçek işlem ayrıntılarına dayalı, yüksek düzeyde hedeflenmiş kimlik avı kampanyaları yer alıyor.
Website Planet analistleri, veritabanı adının kendisinin (‘invoicely_backup_public’) dahili yedekleme veya üçüncü taraf geçişi için tasarlanmış olabileceğini ancak genel erişim için yanlış yapılandırıldığını öne sürdüğünü belirtti.
Bu yanlış adım, hızlı dağıtım ve ölçeklendirmenin genellikle güvenlik kontrollerini geride bıraktığı SaaS sağlayıcıları genelinde bulut depolama yönetiminde yinelenen aksaklıkların altını çiziyor.
Fowler aktif istismara dair kanıt bulamadı, ancak açığa çıkma penceresi göz önüne alındığında tespit edilemeyen veri toplama potansiyeli önemli olmaya devam ediyor.
Veri Açığa Çıkarma Mekanizması
Yanlış yapılandırma, güvenli olmayan bir Amazon S3 paketinin yanlışlıkla sınırlı erişim yerine “herkese açık okuma” olarak ayarlanmasından kaynaklandı. Saldırganlar, AWSBucketFinder gibi araçları veya basit HTTP isteklerini kullanarak paketleri numaralandırabilir.
Aşağıda bir saldırganın paket içeriğini nasıl listeleyebileceğini gösteren bir Python pasajı bulunmaktadır: –
import boto3
s3 = boto3.client('s3', aws_access_key_id='', aws_secret_access_key='', config=boto3.session.Config(signature_version='s3v4'))
response = s3.list_objects_v2(Bucket="invoicely_backup_public")
for obj in response. Get('Contents', []):
print(obj['Key'])Bu komut dosyası, kimlik doğrulama kontrollerinin eksikliğini vurguluyor ve birkaç satırlık kodun yüz binlerce dosyayı nasıl açığa çıkarabileceğini gösteriyor.
Bu tür riskleri azaltmak için SaaS sağlayıcılarının katı erişim politikaları uygulaması, depolama denetimlerini otomatikleştirmesi ve bulut kaynaklarını sağlarken en az ayrıcalık ilkelerini benimsemesi gerekir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
