Araştırmacılar, internette ücretsiz olarak erişilebilen ve kişisel bilgilerden oluşan bir hazine içeren devasa bir Google Cloud Storage paketi keşfettiler.
Yapay zeka girişimi WotNot, şirketlere kendi özelleştirilmiş sohbet robotlarını oluşturma olanağı sunuyor. Şirketin bazı aile isimleri de dahil olmak üzere 3.000 müşterisi olduğu bildiriliyor.
Ancak çözümün kurulma şekli, müşteriden chatbot’u kuran şirkete kadar kişisel olarak tanımlanabilir bilgilerin (PII) akışında zincire ekstra bir bağlantı oluşturarak ek bir açığa çıkma riski bırakıyor.
Araştırmacıların 346.381 dosyada bulduğu verilerin çeşitliliği göz önüne alındığında, bunun birkaç WotNot müşterisinden kaynaklandığından şüpheleniyorlar. Bulunan kayıtlardan bazıları şunlardır:
- Tam ad, doğum tarihi, pasaport numarası gibi bilgileri ve siber suçluların ele geçirmeyi sevdiği diğer bilgileri içeren pasaportlar da dahil olmak üzere kimlik belgeleri.
- Teşhisler, tedavi geçmişi, test sonuçları ve özel olması gereken diğer tıbbi bilgileri içeren tıbbi kayıtlar.
- İstihdam geçmişini, adresleri, eğitimi ve e-posta adresleri ve telefon numaraları gibi iletişim verilerini içeren özgeçmişler.
Sonuç olarak, bir grup siber suçlu bu tür veriler bulursa, bilgilerini buldukları kişileri dolandırmak için kişisel bilgiler içerdikleri için ikna edici görünen kimlik avı e-postalarından kimlik hırsızlığına kadar her türlü planı uygulayabilirler.
WotNot yaptığı açıklamada şunları söyledi:
“İhlalin nedeni, bulut depolama paketi politikalarının belirli bir kullanım durumuna uyum sağlayacak şekilde değiştirilmesiydi. Ancak ne yazık ki erişilebilirliğini tam olarak doğrulamayı atladık ve bu da yanlışlıkla verilerin açığa çıkmasına neden oldu.”
“Özel kullanım durumu”, bu müşterilerin, görünüşe göre hiçbir güvenlikle birlikte gelmeyen “ücretsiz planı” kullanıyor olmaları gibi görünüyor.
Açıklığa kavuşturulmadı:
“Kurumsal müşteriler için güvenlik ve uyumluluk standartlarına sıkı sıkıya uyulmasını sağlamak amacıyla özel örnekler sağlıyoruz.”
WotNot ayrıca, genellikle müşterilerinin bu tür dosyaları alıp kendi sistemlerine ilettikten sonra sunucudan silmelerini önerdiğini de belirtti. WotNot müşterilerinin kendi müşterilerine bu tür dosyaları doğrudan gönderebilecekleri bir yöntem sağlamalarını tavsiye ederim.
Tedarik zincirindeki sızıntıların, bunları sızdıran şirketin adını hiç duymamış kişilerden gelen verileri açığa çıkardığı çok fazla vaka gördük.
Olay, şirketlere hassas kişisel bilgiler vermeden önce verilerinizin nereye gittiğini kontrol etmenin önemini gösteriyor. Ancak bu aynı zamanda, son kullanıcının, uğraştığı şirketle olan zincirde ekstra bağlantıların olup olmadığının her zaman net olmadığını da gösteriyor.
Fırsatınız olursa, hassas verileri bir sohbet robotuna göndermeyin, bunun yerine güvenli bir şirket e-posta adresi isteyin.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.