Dünyanın en popüler uygulamalarının kullanıcılarına ait çok sayıda kişisel veri ve belge, bir yılı aşkın bir süredir internette açığa çıkıyor ve bir süre önce de siber suçluların eline geçmiş olabilir.
Sızıntıdan sorumlu şirket AU10TIX, Tel Aviv’in bir banliyösünde bulunuyor ve kişisel belgeler, biyometri ve daha fazlası aracılığıyla kimlik doğrulama konusunda uzmanlaşıyor. Müşterileri arasında X, TikTok, LinkedIn, Coinbase, eToro, PayPal, Fiverr, Upwork, Bumble, Uber ve diğerleri gibi büyük şirketler yer alıyor.
Yakın zamanda bir güvenlik araştırmacısı, AU10TIX’teki bir ağ operasyon merkezi yöneticisine ait açıkta kalan kimlik bilgilerini keşfetti. Bunlar arasında yöneticinin çeşitli hesaplara ait şifreleri ve belirteçleri de yer alıyordu. AU10TIX günlük kaydı platformuŞirketin kimliklerini doğruladığı kişilere ait verileri işlediği yer.
Zararın Boyutu
Platformun kayıt altına aldığı veriler arasında isimler, doğum tarihleri, uyruklar ve sürücü belgesi, pasaport gibi kimlik belgelerinin görüntüleri yer alıyordu.
Araştırmacının gözetleme yetkisini sınırlamasına rağmen, “Impersonation_XCorp” ve “uber-carshare-passport” gibi değerlerin yer aldığı bir grafik gibi bazı veri alanlarının, depolanan verilerin doğasını ve amacını gösterdiği ortaya çıktı.
Ayrıca şirketin doğrulama teknolojisinin iç yapısından özel veriler de buldu. Örneğin bir tablo, canlı yüz taramalarının sonuçlarını içeriyordu ve kullanıcının yüzünün “canlı” olma “olasılığını” 0’dan 1’e kadar bir ölçekte derecelendiriyordu. Diğerleri belgelerin ve yüz fotoğraflarının gerçekliğini ölçtü.
En önemlisi, ifşa edilen kimlik bilgilerinin Aralık 2022’de kötü amaçlı yazılım tarafından emildiği ve Mart 2023’te Telegram’a gönderildiği görülüyor.
AU10TIX, 404media’ya yaptığı açıklamalarda başlangıçta “kapsamlı bir soruşturmanın, çalışanların kimlik bilgilerine yasa dışı olarak erişildiğini belirlediğini ve derhal iptal edildiğini” iddia etti. Yayın satıcıya, bu ay itibarıyla, yani olaydan 18 ay sonra, kimlik bilgilerinin hala çevrimiçi olarak açığa çıktığını bildirdiğinde, şirket, açığa çıkan kayıt sistemini kaldırmak için çalışacağını söyledi. Ayrıca etkilenen müşterilere bilgi verildiği iddia edildi ve “mevcut bulgularımıza göre bu tür verilerin istismar edildiğine dair hiçbir kanıt görmediğimiz” vurgulandı.
Uygulama Kullanıcıları için Catch-22
Bugün müşteriler talihsiz bir seçimle karşı karşıyadır (eğer bu bir seçim olarak kabul edilebilirse). İster kripto para birimi, ister ödemeler, sosyal medya veya flört olsun, günümüzün popüler uygulamalarını kullanabilmek için çoğu zaman kimliğinizi kanıtlayan ekstra hassas bilgi ve belgeleri teslim etmeniz gerekir. Aynı zamanda bu bilgilerin ve belgelerin nasıl işlendiği ve saklandığı üzerinde de herhangi bir kontrolünüz yoktur.
Kişisel güvenliğe maliyet getirmeden uygulama güvenliğini sağlamanın bir yolu yok mu?
Sectigo Ürün Kıdemli Başkan Yardımcısı Jason Soroko, “Şirketler, hassas belgeleri ve kişisel olarak tanımlanabilir bilgileri saklama ihtiyacını en aza indiren kimlikleri doğrulamak için çeşitli yöntemler benimseyebilir” diyor.Yaklaşımlardan biri tokenizasyondurgerçek belgeler yerine belgeleri temsil eden belirteçleri veya karma değerleri depolamayı içerir. Bu, depolama sisteminin tehlikeye girmesi durumunda riski azaltır.”
Başka bir yöntem kullanır sıfır bilgi kanıtlarıbir tarafın diğerine değeri bildiğini, değeri bildiği gerçeğinin ötesinde herhangi bir bilgi aktarmadan kanıtlamasına olanak tanıyan bir kriptografik tekniktir. “Bu, gerçek verileri ifşa etmeden kimliği doğrulayabilir,” diye açıklıyor Soroko. “Ek olarak, merkezi olmayan kimlik doğrulaması, kullanıcıların kimlik bilgilerini kontrol etmelerini ve doğrulama gerektiren hizmetlerle yalnızca gerekli kısımları paylaşmalarını sağlayarak blok zinciri teknolojisinden yararlanır, böylece gizlilik ve güvenliği artırır.
“Bu yöntemler, güvenliği ve gizliliği artırırken, yeni güvenlik açıklarının ortaya çıkmasını önlemek için dikkatli bir uygulama ve sürekli yönetim gerektiriyor.”