Etik bir araştırmacı olan Jeremiah Fowler, büyük bir siber güvenlik sorununda toplam 286.9 GB olan 245.949 girişi olan teminatsız bir veritabanı keşfetti. Veritabanının Teksas’ta bulunan bir vergi kredisi danışmanlığı kuruluşu olan Rockerbox’a ait olduğu varsayılmıştır.
Şifreleme ve şifre koruması eksik olan açık depo, tam isimler, fiziksel adresler, e-posta adresleri, doğum tarihleri, sosyal güvenlik numaraları (SSN’ler), sürücü lisansları, askeri deşarj formları (DD-214s) ve çalışma fırsatı vergisi ve maaş detayları ile iş fırsatı vergisi kredi belgeleri dahil olmak üzere bir dizi kişisel olarak tanımlanabilir bilgi (PII) barındırılmıştır.
Bu güvenlik açığı, tutarsız erişim kontrollerinin yetkisiz veri açığa çıkmasını kolaylaştırabileceği bulut depolama konfigürasyonlarındaki kritik kusurları vurgular.
Maruziyetin teknik detayları
Veritabanına, şifrelenmemiş PDF’ler ve düz metin kayıtları gibi hassas eserleri ortaya çıkaran, kimlik doğrulama mekanizmaları olmadan standart web tarayıcıları aracılığıyla herkese açık olarak erişilebilirdi.
Sınırlı bir örnekleme, dosya adları işveren adları, bireysel adlar, sayısal kodlar ve belge tanımlayıcıları gibi PII öğelerini yerleştiren şifre korumalı PDF’lerin yanı sıra vergi kredisi uygunluğu için kararlılık mektupları ortaya çıkardı.
Araştırmaya göre, bu adlandırma kuralları, dosya yolları yanlışlıkla tarayıcı önbellekleri, sunucu günlükleri veya paylaşılan URL’ler aracılığıyla meta verileri sızdırabileceğinden, müstehcenlik riskleri yoluyla güvenliği potansiyel olarak getirdi.
Araştırmacı, korumaları atlamaya veya varsayımsal şifreleri test etmeye çalışarak etik yönergelere bağlı kalırken, pozlama muhtemelen rocker kutusu veya üçüncü taraf satıcı tarafından yönetilen yanlış yapılandırılmış bulut kovalarındaki güvenlik açıklarının altını çiziyor.
Olay süresi bilinmemektedir, bu da log analizi ve saldırı algılama sistemleri yoluyla anormal erişim modellerini tespit etmek için adli denetimler gerektirir.
Daha geniş sonuçlar
Keşif üzerine Fowler, rocker kutusuna sorumlu bir açıklama bildirimi yayınladı ve veritabanının günler sonra kamu erişiminden kısıtlamasına neden oldu, ancak yanıt alınmadı.
Rockerbox’ın misafirperverlik, sağlık ve üretim gibi sektörlerdeki hizmetlerine bağlı maruz kalan veriler, kimlik hırsızlığı ve finansal sahtekarlık gibi varsayımsal tehditler oluşturmaktadır.
Siber suçlular, SSN’ler gibi kombine PII’leri DOB’larla ve sentetik kimlik yaratma, hileli kredi başvuruları veya vergi iadesi dolandırıcılığı için istihdam bilgilerinden yararlanabilir ve 2024 FTC istatistikleri ile hizalanan 1.1 milyondan fazla kimlik hırsızlığı iddiası ve 12,7 milyar dolarlık sahtekarlık kayıpları ile uyumludur.
Özellikle, şifre korumalı dosyaların tanımlayıcıları, sayısal bileşenlerin kilidini açma anahtarları olarak hizmet etmesi durumunda teorik olarak kaba kuvvet saldırılarını etkinleştirebilir, ancak böyle bir sömürü doğrulanmamıştır.
Bu vaka, uygunsuz ACL’lerin (erişim kontrol listeleri) ve şifrelenmemiş depolamanın ihlal potansiyellerini güçlendirdiği Zero-Trust olmayan mimarilerdeki riskleri örneklendirir.
Benzer maruziyetlere karşı korunmak için kuruluşlar, AES-256 standartlarını, çok faktörlü kimlik doğrulama (MFA) ve düzenli penetrasyon testi kullanılarak dayanakta şifreleme dahil güçlü güvenlik duruşlarını uygulamalıdır.
SIRO-TRUST modellerinin uygulanması sürekli doğrulama sağlarken, SIEM (Güvenlik Bilgileri ve Etkinlik Yönetimi) araçları aracılığıyla erişim günlüklerinin otomatik olarak izlenmesi şüpheli faaliyetleri işaretleyebilir.
Etkilenen bireyler için proaktif önlemler arasında kredi izleme, Experian gibi bürolarla sahtekarlık uyarıları ve kimlikteheft.gov’da FTC kaynaklarını kullanma yer alır.
Eğitim amaçlı amaçlanan bu açıklama, rocker kutusu veya gerçek veri uzlaşması ile yanlış yapmanın herhangi bir imaini reddederek PII’yi ele almada proaktif siber güvenlik hijyeni ihtiyacını vurgulamaktadır.
Bunun gibi etik araştırmalar, firmaları bulut altyapılarını denetlemeye ve hassas tanımlayıcıların dosya meta verilerine yerleştirilmeye kaçınmaya çağırarak farkındalığı teşvik eder.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.