Bir hacker, 404 Media’dan yeni bir rapora göre, sürücü arabalarını yerleştirecek şekilde inşa edilen Nexar markalı kameralardan alınan video kayıtlarının bir veritabanına girdi.
Nexar, ürünlerini “sanal CCTV kameralar” olarak tanıtan ve kritik olayların otomatik bulut yüklemeleri, AI güdümlü bilgiler ve gerçek zamanlı yol uyarıları sunan bir dashcam şirketidir. Müşterilere uzak video akışı, canlı GPS izleme ve paylaşılması kolay video kanıt sunar.
Nexar ayrıca kameralar ve diğer ilgili verilerin diğer şirketlere çektiği bulanık görüntülere erişim satıyor. Nexar, kullanıcıların verilerini ve kayıtlarından çeşitli ürünlere yeniden paketleyerek para kazanır. Bunlardan biri, Nexar Dashcams tarafından çekilen, halka açık bir haritaya üst üste binen ve verim veya hız sınırı işaretleri, hasarlı yollar ve diğer tehlikeler gibi şeyleri açıklayan son ve bulanık görüntüleri kullanan şirketin CityStream haritasıdır.
Bu erişim ve veri yönetimi seviyesi sağlıklı, kurumsal bir güvenlik duruşu ile gelmelidir. Ancak, şirketin sistemlerini ihlal eden hacker’a göre, Nexar utanç verici güvenliğe sahip mutlak bir gizlilik kabusu. İddiaya göre, Hacker’ın Nexar sistemlerini ihlal etmek sadece 2 saat sürdü ve şunları söyledi:
“Hiç kimse (yabancı hükümet veya sadece kötü aktör) müşteri verilerine dokunmazsa çok şaşırırdım.”
Bir klipte, hacker 404 medyaya kanıt olarak sağlanan bir Nexar kamera, bir araba için içe doğru karşı karşıya kalır ve yolcuları toplayan bir rideshare sürücüsü gibi görünen şeyleri yakalar. Diğer birçok videoda olduğu gibi, insanların yüzleri açıkça görülebilir.
Nexar kurucu ortağı ve CTO Bruno Fernandez-Ruiz, 404 Medyaya, Nexar’ın gizlilik politikasına göre, CityStream özelliğine katkıda bulunan kullanıcıların, yargı yetkisine bağlı olarak göz atma-ya da devre dışı bırakma ile devam ettiklerini söyledi.
Kişisel çıkarımların yanı sıra, 404Media, bilgisayar korsanının sağladığı kanıtlarda bulunabilecek bazı potansiyel ulusal güvenlik risklerini de belirtti ve vurguladı.
Hacker, tüm videoları uygunsuz bir şekilde güvenli bir Amazon Web Services (AWS) kovasında buldu. AWS kovası, metin dosyaları, resimler, videolar ve daha fazlası gibi çeşitli veri türlerini saklayabileceğiniz bulutta sanal bir dosya klasörü gibidir. Orada, hacker 130 TB’den fazla veri buldu.
Hacker, AWS kovasına erişebildi çünkü her Nexar dashcam’e gömülü bu veritabanının anahtarı oldu. Ve bu anahtar yüksek ayrıcalıklarla geldi – çok yüksek. Bu erişim ayrıcalıkları, anahtara sahip kimsenin kendi kameralarının verilerini yüklemesine değil, aynı zamanda herkesinkine de erişmesine izin vermekle kalmaz.
Hacker’ın bir başka bulgusu, Nexar’ın şirketin verilerine eriştiğini söylediği şirketleri ve kuruluşları gösteren bir dosyaydı. Belgeye göre bunlar arasında Apple, Microsoft, Amazon, Google, Pokémon Go yaratıcısı Niantic, ulaşım şirketleri Lyft ve Waymo, Los Angeles ve Austin, NYPD ve birçok AI ve lojistik odaklı şirketler.
Nexar, bu hafta 404 medya tarafından temasa geçtikten sonra bu sorunu düzeltti, ancak dashcam veya CCTV görüntülerini depolayan bir şirketten beklenmesi gereken güven seviyesi ciddi bir darbe aldı.
Bir veri ihlali sonrasında kendinizi korumak
Veri ihlalinin kurbanı varsa veya şüpheliyseniz veya şüphelendiğiniz bazı eylemler vardır.
- Satıcının tavsiyesini kontrol edin. Her ihlal farklıdır, bu nedenle neler olduğunu öğrenmek için satıcıya danışın ve sundukları özel tavsiyeleri takip edin.
- Şifrenizi değiştirin. Çalınan bir şifreyi hırsızlara değiştirerek işe yaramaz hale getirebilirsiniz. Başka bir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için birini seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı etkinleştirin (2FA). Mümkünse, ikinci faktörünüz olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. Bazı iki faktörlü kimlik doğrulama formları (2FA) bir şifre kadar kolay bir şekilde yinelenebilir. Bir FIDO2 cihazına dayanan 2FA yinelenemez.
- Sahte satıcılara dikkat edin. Hırsızlar, satıcı olarak poz vererek sizinle iletişime geçebilir. Mağdurlarla iletişim kurup duymadıklarını ve farklı bir iletişim kanalı kullanarak sizinle iletişim kuran herkesin kimliğini doğrulamak için satıcı web sitesine bakın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız insanları veya markaları taklit eder ve kaçırılan teslimatlar, hesap süspansiyonları ve güvenlik uyarıları gibi acil dikkat gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşünün. Sitelerin kart bilgilerinizi sizin için hatırlamasını sağlamak kesinlikle daha uygundur, ancak bu bilgileri web sitelerinde saklamamayı şiddetle tavsiye ederiz.
- Kimlik İzleme Ayarla. Kimlik izleme, kişisel bilgilerinizin yasadışı olarak çevrimiçi işlem gördüğü ve sonra iyileşmenize yardımcı olduğu takdirde sizi uyarır.
Sadece veri gizliliği hakkında rapor vermiyoruz, kişisel bilgilerinizi kaldırmanıza yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. MalwareBebytes Kişisel Veri Kapatıcısı ile, hangi sitelerin kişisel bilgilerinizi açığa çıkardığını öğrenebilir ve ardından bu hassas verileri internetten silebilirsiniz.