Yakıt Endüstrisi Yazılım Sağlayıcısındaki Sunucu Yanlış Yapılandırması SSN’leri ve PII Verilerini Açığa Çıkarıyor


Bir sunucu yanlış yapılandırması, önde gelen bir petrol ve yakıt endüstrisi yazılım sağlayıcısı olan FleetPanda’ya ait bir dizi belgeyi açığa çıkardı. Faturalar, sürücü uygulamaları ve kişisel bilgiler gibi hassas veriler açığa çıktı. Olası riskler ve kendinizi nasıl koruyacağınız hakkında bilgi edinin.

Büyük bir sunucu yanlış yapılandırması, petrol ve yakıt sektörüne hizmet veren önde gelen bir yazılım sağlayıcısı olan FleetPanda’ya ait yaklaşık bir milyon belgeyi ifşa etti. Açığa çıkan veriler arasında faturalar, sürücü başvuruları, ehliyet görüntüleri ve PDF, .jpg ve diğer görüntü formatlarında geçmiş kontrolleri gibi hassas bilgiler yer alıyordu.

Olay, olayı WebsitePlanet’e bildiren siber güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedildi. Herhangi bir parola veya güvenlik doğrulaması olmadan korumasız bırakılan ifşa edilmiş veritabanı, 193 GB boyutunda 780.191 belge içeriyordu. Belgeler, çok sayıda şirket, endüstri ve hatta boru hattına yakıt ve petrol sevkiyatlarını ortaya çıkardı.

Fowler ayrıca 2019’dan Ağustos 2024’e kadar olan klasörlerde yakıt ve petrol sevkiyatları, faturalar, teslimat biletleri ve diğer iş ile ilgili kayıtları içeren belgeler keşfetti ve Kaliforniya, Oregon, Teksas, Kolorado ve Oklahoma’dan teslimat ayrıntıları dahil olmak üzere çeşitli eyaletlere bağlandı. Dosyalar arasında sürücüler, ehliyetler, mağazalar, senkron kamyonları, araçlar ve işçiler vardı.

WebsitePlanet’in Hackread.com ile yayımlanmadan önce paylaştığı rapora göre daha fazla araştırma, veritabanının sürücü belgelerinin yüksek çözünürlüklü görüntüleri ve SSN (Sosyal Güvenlik Numaraları) ve PII içeren iş başvuruları dahil olmak üzere potansiyel olarak hassas bilgiler içerdiğini ortaya koydu. Açığa çıkan iş kayıtları ve kişisel veriler güvenlik ve gizlilik endişelerine yol açabilir. Ancak, FleetPanda’nın veritabanını mı yoksa üçüncü bir tarafı mı yönettiği belirsizdir.

Bilginize, FleetPanda, petrol ve akaryakıt sektörüne sevkiyat yönetimi, sürücü uygulaması, raporlama ve analiz, faturalama ve diğer hizmetleri sağlayan Kaliforniya merkezli bir şirkettir.

Hassas verilerin ifşa edilmesi çok çeşitli risklere yol açabilir. Sosyal medya ve ehliyet bilgileri gibi kişisel bilgiler kimlik hırsızlığı için kullanılabilir ve bu da maddi kayba ve itibar kaybına neden olabilir. Suçlular ifşa edilen faturaları kullanarak sahte faturalar oluşturabilir ve kuruluşları yetkisiz ödemeler yapmaya kandırabilir.

Sunucu yanlış yapılandırması, petrol ve yakıt endüstrisinin tedarik zincirini potansiyel olarak bozabilir, kıtlıklara ve fiyat artışlarına yol açabilir. Dahası, açığa çıkan veriler FleetPanda’nın müşterilerine veya endüstrideki diğer kuruluşlara karşı hedefli siber saldırılar başlatmak için kullanılabilir.

Örneğin, bir örnek ekran görüntüsü, ABD’de dizel yakıtın yüksek perakende maliyeti nedeniyle 41.000 dolar değerinde 9.900 galon dizel yakıt için bir faturayı gösteriyor. Bu yüksek para değeri, endüstriyi yüksek değerli pazardaki suçlular için potansiyel bir hedef haline getirebilir.

Fowler, kuruluşların faturalar gibi “önemli çalışan verilerini standart işletme ve iş belgelerinden ayrı” saklamasını öneriyor. Ayrıca, kuruluşlar güçlü erişim kontrolleri uygulamalı, yazılım ve sistemleri düzenli olarak güncellemeli, çalışanları siber güvenlik en iyi uygulamaları konusunda eğitmeli ve bu tür olaylara karşı koruma sağlamak için ağları ve sistemleri yetkisiz erişim veya sunucu yanlış yapılandırması belirtileri açısından izlemelidir.

  1. Veri Sızıntısı İş Liderlerini ve Ünlülerin Verilerini Açığa Çıkardı
  2. Bulut Yanlış Yapılandırmasında 2 TB ServiceBridge Verisi Açığa Çıktı
  3. Güvenli Olmayan Veritabanı 39 Milyon Hassas Hukuki Kaydı Açığa Çıkardı
  4. Milyonlarca ABD Seçmen Verisi 13 Yanlış Yapılandırılmış Veritabanında Açığa Çıktı
  5. Meksika’nın En Büyük ERP Sağlayıcısı ClickBalance 769 Milyon Kaydı Açığa Çıkardı
  6. Veritabanı Karmaşası: Avustralyalı Gıda Devi Patties Foods Veri Hazinesini Sızdırdı





Source link