Masif bir veri sızıntısı, 3,6 milyondan fazla uygulama yaratıcının, etkileyicilerin ve girişimcilerin risk altındaki kişisel bilgilerini VPNmentor’dan bir rapor ortaya koyuyor. Siber güvenlik uzmanı Jeremiah Fowler, bir uygulama oluşturma platformuna bağlı 12.2 terabayt hassas veri içeren güvenli olmayan bir veritabanını ortaya çıkardı.
Ne şifrelenmiş ne de bir şifre ile korunan maruz kalan veritabanı 3.637.107 kayıt tuttu. Bu kayıtlar arasında isimler, e -posta adresleri, fiziksel adresler ve hem kullanıcı hem de uygulama yaratıcıları gibi görünen ödemelerle ilgili ayrıntıları içeriyordu.
Fowler’ın raporuna göre, dahili dosyalar ve veritabanının adı, verilerin Texas/Delaware merkezli bir şirket olan Passion.io’ya ait olduğunu öne sürdü. Passion.io, yaratıcılar, antrenörler ve ünlüler gibi bireylerin teknik becerilere ihtiyaç duymadan kendi mobil uygulamalarını oluşturmalarına olanak tanıyan bir kodsuz platform sağlar. Bu uygulamalar, kullanıcıların interaktif kurslar sunmalarını ve abonelikler veya bir kerelik satın alımlar yoluyla para kazanmalarını sağlar.
İsim adresleri ve hatta görüntüler gibi kişisel olarak tanımlanabilir bilgiler (PII) dahil olmak üzere maruz kalan bilgiler önemli riskler taşır. Fowler, bu tür verilerin suçlular tarafından siber suçlar için ortak bir başlangıç noktası olan “kimlik avı veya sosyal mühendislik saldırıları” için kullanılabileceği konusunda uyarıyor. Sızan e -posta adresleri ve satın alma geçmişleri, bireyleri güvenilir bir şirketi taklit ederek daha kişisel veya finansal detayları ortaya çıkarmak için kandırmak için kullanılabilir.
Ayrıca, bazıları çocukları içeren kullanıcı profili görüntülerinin maruz kalması ciddi gizlilik endişelerini dile getirmektedir. Bu görüntüler potansiyel olarak kimliğe bürünme, sahte hesaplar veya diğer çevrimiçi dolandırıcılıklar oluşturmak için kötüye kullanılabilir.
Araştırmacı, görünüşte zararsız görüntülerin bile “potansiyel olarak silahlandırılabileceğini veya etik dışı amaçlarla kullanılabileceğini” belirtti. Kişisel verilerin ötesinde, veritabanı ayrıca, yaratıcıların gelirini zayıflatabilecek ve rakiplere şirketin operasyonları hakkında bilgi verebilecek dahili finansal kayıtlarla birlikte uygulama yaratıcıları tarafından satılan premium içerik gibi görünen video dosyaları ve PDF belgeleri içeriyordu.
Passion.io’nun şeffaflığına kudos
Sızıntıyı keşfettikten sonra, Fowler derhal Passion.io bilgilendirdi. Şirket hızla hareket etti ve aynı gün veritabanına halkın erişimini kısıtladı. Passion.io, “Gizlilik Görevlisi ve Teknik Ekibi’nin sorunu çözmek için çalıştığını, bunun bir daha gerçekleşemeyeceğinden emin olduğunu” belirten bulguyu kabul etti.
Bununla birlikte, şirketiniz verileri işlerse, veritabanı yanlış yapılandırmalarını önlemek ve Passion.io’yu etkileyen veri sızıntılarını önlemek için izlenmesi gereken 5 temel adım vardır. Aşağıdaki bu adımların mükemmelliği garanti etmeyeceğini belirtmek gerekir, ancak bir veritabanını açık bırakma ve kullanıcı verilerini sızdırma şansını düşürürler:
1. Kimlik doğrulama ve erişim kontrollerini uygulayın
- Yönetimsel erişim için çok faktörlü kimlik doğrulama uygulayın.
- Hassas verileri kimin görüntüleyebileceğini veya değiştirebileceğini sınırlamak için rol tabanlı erişimi kullanın.
- Parola veya erişim kontrolü olmadan bir veritabanını asla açık bırakmayın.
2. Verileri dinlenme ve transit olarak şifreleyin
- Güçlü şifreleme protokolleri kullanın ve anahtarları güvenli bir şekilde yönetin.
- Tüm hassas verilerin hem diskte hem de aktarım sırasında şifrelendiğinden emin olun.
3. Yanlış yapılandırma algılamasını otomatikleştirin
- Kamuya maruz kalma veya olağandışı erişim modelleri için uyarılar ayarlayın.
- Yanlış yapılandırmaları gerçek zamanlı olarak algılamak için bulut güvenlik araçlarını veya yapılandırma tarayıcılarını (örneğin AWS yapılandırması, GCP Güvenlik Komut Merkezi) kullanın.
4. Düzenli güvenlik denetimleri ve kalem testleri yapın
- Sadece uygulamanızı değil, aynı zamanda depolama ve veritabanı katmanlarınızı da test edin.
- Altyapınızda rutin güvenlik açığı değerlendirmeleri ve penetrasyon testleri yapın.
5. Güvenlik En İyi Uygulamaları konusunda DevOps ve Teknik Ekipleri Tren
- Geliştirme sırasında belgeleri güncel tutun ve politikaları uygulayın.
- Altyapı işleyen tüm ekip üyelerinin bulut veritabanlarını nasıl güvence altına alacağınızı, izinleri yöneteceğinizi ve riskli yapılandırmaların nasıl bulunacağını bildiğinden emin olun.