ABD, Teksas merkezli bir vergi kredisi danışmanlığı olan Rockerbox’ta veri maruziyeti ortaya çıktı. Siber güvenlik araştırmacısı Jeremiah Fowler kısa bir süre önce bulguları VPNmentor tarafından bildirilen ve hackread.com ile paylaşılan önemli bir güvenlik atlamasını vurgulayan password korumalı olmayan bir veritabanı ortaya çıkardı.
Vergi kredisi danışmanlık şirketi olarak tanımlanan Rockerbox, ABD’deki işletmelerin iş fırsatı vergisi kredisi (WOTC), Çalışan Teslim Vergi Kredisi (ERTC), Ar-Ge kredileri ve güçlendirme bölgesi kredileri gibi programlar aracılığıyla işveren odaklı vergi teşviklerini belirlemelerine ve yönetmelerine yardımcı olur.
Meyveden çıkarılan verilerin kapsamı
Maruz kalma, toplam 286.9 GB veri olan endişe verici 245.949 kayıt içeriyordu. Bu kapsamlı veri kümesi, tam isimler, doğum tarihleri (DOB), Sosyal Güvenlik numaraları (SSN) ve fiziksel adresler dahil olmak üzere çeşitli kişisel olarak tanımlanabilir bilgiler (PII) biçimlerini içermektedir.
Bilgileriniz için PII, bir bireyi doğrudan veya dolaylı olarak tanımlayabilen bilgilerdir, SSN ise kazançları izlemek için ve ABD’deki çeşitli hükümet amaçları için kullanılan benzersiz dokuz basamaklı bir tanımlayıcıdır.
Fowler’ın raporuna göre, açık kayıtlar, ABD Savunma Bakanlığı tarafından verilen ve bir gazinin askerlik hizmetinin resmi belgeleri olarak hizmet veren aktif görevden serbest bırakma veya tahliye sertifikası olan Drive’s Lisansları ve DD214 formları gibi hassas kimlik belgeleri içeriyordu.
Ayrıca, çok çeşitli istihdam ve vergi ile ilgili materyaller tehlikeye atılmıştır. Bu, genellikle karmaşık finansal ve kişisel detayları içeren resmi kabul veya inkar mektuplarının yanı sıra vergi kredisi programları için başvuruları içermektedir. Bazı dosyalar erişimden kaynaklanırken, İnternet erişimi olan herkes için birçok belge hazırdı.
Parola korumalı belirli PDF dosyalarının bile dosya adları açığa çıkardı ve PII’yi işveren ve başvuru sahibi adları gibi açığa çıkardı. Fowler, bu dosya adlarının sayısal kısımlarının bu tür verilerin gömülmesine karşı tavsiyede bulunarak şifreler içerebileceği teorik bir riskini vurguladı.
Etkilenen bireyler için potansiyel riskler
Restoran ve misafirperverlik, sağlık, üretim, gıda işleme ve yetenekli işlemler gibi sektörlerde vergi teşvikleri ile ABD’deki işletmelere yardım etmek için bilinen rockerbox, veri işleme üzerinde inceleme ile karşı karşıya. Kapsamlı maruziyet, hedeflenen kimlik avı saldırıları, kimlik hırsızlığı ve finansal sahtekarlık için önemli bir potansiyel yaratır, çünkü kötü niyetli aktörler bu derin kişisel ve finansal bilgileri yasadışı kazanç için kullanabilir.
Fowler hemen rocker kutusunu bildirdi ve veritabanı daha sonra birkaç gün sonra kamu erişiminden korundu ve kısıtlandı. Ancak, sorumlu açıklama bildirimine cevap alınmamıştır. Ayrıca, veritabanının doğrudan rocker kutusu veya bir üçüncü taraf yüklenici tarafından yönetilip yönetilmediği, keşiften önce ne kadar süre maruz kaldığı veya diğer yetkisiz tarafların erişim kazanıp kazanmadığı bilinmemektedir.
Fowler, “Bulut depolama depolarında potansiyel olarak hassas kişisel verileri toplayan ve depolayan şirketler ve kuruluşlar için, bu bilgileri korumak için uygun güvenlik önlemlerinin uygulanması önemlidir. Bu, (kuruluşun içindeki ve dışından) hangi bilgileri görebileceğini ve manipüle edebileceğini erişim kontrolleri ve sınırlandırma ile başlar” dedi.