Bir araştırmacı, bir veri komisyoncusunun herkesin erişebileceği bir bulut depolama kapsayıcısında 644.869 PDF dosyası sakladığını keşfetti.
713,1 GB’lık konteyner (bir Amazon S3 kovası) şifre korumasına sahip değildi ve veriler şifrelenmeden bırakılmıştı, böylece onları bulan herkes dosyaları okuyabiliyordu. Dosyalar yalnızca binlerce kişinin araç kayıtlarını (plaka ve VIN) ve mülk sahipliği raporlarını değil, aynı zamanda sabıka geçmişlerini ve özgeçmiş kontrollerini de içeriyordu.
Kayıtların çoğunluğu, tam isimleri, ev adreslerini, telefon numaralarını, e-posta adreslerini, çalışma geçmişini, aile üyelerini, sosyal medya hesaplarını ve sabıka kayıt geçmişini içeren geçmiş kontrolleri olarak etiketlendi.
Veri komisyoncuları, finansal, kişisel, davranış ve ilgi alanlarınız da dahil olmak üzere bilgilerinizi kâr amacıyla toplar ve satar. SL Data Services kendisini gayrimenkul bilgi raporları sağlayıcısı olarak pazarlamaktadır. Ancak araştırmacı destek ekibiyle iletişime geçtiğinde şirketin kriminal kontroller, motorlu taşıtların bölünmesi (DMV) kayıtları, ölüm ve doğum kayıtları da sağladığını belirttiler.
Muhtemelen verileri bu amaçla düzenlemek için, kapsayıcının içindeki klasörlerin hepsinin ayrı web sitesi alan adları vardı. Görünüşe göre şirket, bir dizi bilgi hizmeti sunan (örn. PropertyRec) tahminen 16 farklı web sitesinden oluşan bir ağ işletiyor.
Geçmiş kontrolleri deneğin farkındalığı olmadan yapılabilir ve sıklıkla yapılır. Ancak bir kişi hakkındaki tüm bilgilerin bir araya getirilmesiyle sigorta şirketlerinin, reklamcıların ve hatta siber suçluların kendi avantajlarına kullanabileceği eksiksiz bir tablo çiziliyor.
Araştırmacı şunları açıkladı:
“Propertyrec müşterilerinin veya herhangi bir bireyin kimliğe bürünme, hedef odaklı kimlik avı veya sosyal mühendislik saldırıları riski altında olduğunu söylemiyorum veya ima etmiyorum; yalnızca bu tür bilgilerin suçlular tarafından nasıl istismar edilebileceğine dair gerçek dünya risk senaryosunu sunuyorum.”
Ve işleri daha da kötüleştirmek için (mümkünse) dosyaların şu formatı kullanan adları vardı: “First_Middle_Last_State.PDF.” Bu da, erişimi olması gerekip gerekmediğine bakılmaksızın herkesin ilgili kişiyi bulmasını ve dosyayı okumasını inanılmaz derecede kolaylaştırıyor.
Açığa çıkan verilerin kamunun gözünden kaldırılması için araştırmacının epeyce araması ve e-postası gerekti ve SL Veri Hizmetleri, bırakın bunun nasıl olabileceğine dair açıklamayı, araştırmacıya hiçbir yanıt bile vermedi.
Bilgilerinizden vazgeçmeyin, mümkün olan her yerden kaldırın
Ne yazık ki bu gibi olaylar çok sık yaşanıyor, dolayısıyla bilgilerimizin veri simsarları tarafından bulunamayacağından emin olma görevini üstlenmemiz gerektiği açık.
Kişisel bilgilerinizi veri komisyoncusu sitelerinden kaldırmak karmaşık ve zaman alıcı bir süreç olabilir. Manuel devre dışı bırakmalar etkili olsa da, yeni veri girişlerine ve bilgilerinizin çeşitli sitelerde yeniden görünmesine ayak uydurmak için önemli ölçüde çaba harcamanız gerekir. Veri aracısı kaldırma hizmetlerinin kullanışlı olduğu yer burasıdır.
Veri aracısı kaldırma hizmetleri, kişisel bilgilerinizi veri aracısı veritabanlarından bulma ve kaldırma sürecini otomatikleştirmek için tasarlanmıştır. Bu hizmetler, bilgileriniz için bilinen veritabanlarını düzenli olarak tarayarak sizin adınıza vazgeçme talepleri göndererek gizliliğinizin daha kapsamlı ve sürekli korunmasını sağlar.
Malwarebytes, bilgilerinizi arama sonuçlarından, spam listelerinden, kişi arama sitelerinden, veri aracılarından ve daha fazlasından silebilen bir Kişisel Veri Temizleme hizmeti (yalnızca ABD) sunmaktadır.