ChiceDNA, güvenli olmayan bir WordPress klasöründe biyometrik görüntüler, kişisel ayrıntılar ve yüz DNA verileri dahil 8.000 hassas kaydı açığa çıkardı. Gizlilik kaygıları, daha güçlü veri koruması ihtiyacını vurgulamaktadır.
Indiana merkezli bir genetik DNA testi ve yüz eşleştirme hizmet sağlayıcısı, binlerce müşterinin kişisel, biyometrik ve PII verilerini açığa çıkardı. Bu olay, yanlış yapılandırılmış veritabanlarını kötü niyetli aktörler tarafından istismar edilmeden önce tespit edip şirketlere bildirmesiyle tanınan siber güvenlik araştırmacısı Jeremiah Fowler tarafından Hackread.com’a bildirildi.
Bu olayın sorunlu yanı, bu sefer yanlış yapılandırılmış bir veritabanının veya güvenliği ihlal edilmiş bir bulut sunucusunun olmamasıdır. Bu, herhangi bir şifre veya güvenlik kimlik doğrulaması olmadan genel erişime bırakılan, hassas verilerden oluşan bir hazineyi barındıran güvenli olmayan bir WordPress klasöründen başka bir şey değildi.
Açığa çıkan veriler yaklaşık 8.000 belgeden oluşuyordu. Biyometrik görüntüler, isimler, telefon numaraları, e-posta adresleri, ırksal veya etnik kimlikler ve yüz DNA analizi isteme nedenlerini detaylandıran kişisel notlar içeriyordu. Açığa çıkan bilgiler aynı zamanda yeni doğmuş çocuklar da dahil olmak üzere savunmasız bireylerin kayıtlarını da içeriyor.
Bu kayıtlar, web tarayıcısı olan herkesin erişebileceği “Yüz Tanıma Yüklemeleri” başlıklı, güvenli olmayan bir WordPress klasöründe saklanıyordu. Açığa çıkmanın bilinmeyen bir süre devam etmesi, bu hassas bilgilerin olası kötüye kullanımına ilişkin endişeleri artırdı.
Fowler, vpnMentor için yayınlanmadan önce Hackread.com ile paylaştığı raporunda, yüz tanıma bilgileri gibi Biyometrik verilerin son derece hassas olduğunu ve bireyleri tanımlamak, hareketlerini takip etmek ve hatta deepfake yoluyla kimliklerini manipüle etmek için kullanılabileceğini açıkladı. Bu tür verilerin açık rıza olmadan toplanması, saklanması ve analiz edilmesi kişisel mahremiyetin ciddi bir ihlalidir.
Verileri tanımlayan, düzenleyen ve yöneten bilgiler olan meta veriler de önemli riskler oluşturabilir. Bu durumda, açığa çıkan meta veriler isimler, e-postalar ve telefon numaraları gibi kişisel olarak tanımlanabilir bilgileri (PII) içeriyordu. Bu bilgiler kimlik avı, sosyal mühendislik veya şantaj girişimleri için kullanılabilir.
Bilginiz olsun, ChoiceDNA, FACE IT DNA adı verilen DNA testi ve yüz tanıma hizmeti sunan Indiana merkezli bir şirkettir. Aile üyeleri arasında genetik bağlantı olasılığını belirlemek amacıyla görüntüleri analiz etmek için yüz karşılaştırma teknolojisini kullanır. BASIC paketi 38 dolar, PRO paketi ise 63 dolar.
Fowler şirkete sorumlu bir açıklama bildirimi gönderdi ve ardından veritabanının güvenliği derhal sağlandı. Yine de bu tür olaylar güvenli veri depolama uygulamalarının önemini gösteriyor. WordPress, popüler bir içerik yönetim sistemi olmasına rağmen, doğru şekilde yapılandırılmadığı takdirde saldırıya açık olabilir. Bu durumda açığa çıkan veriler, güvenli olmayan bir WordPress klasöründe saklandı ve bu da hassas bilgilerin korunması için sağlam güvenlik önlemlerine duyulan ihtiyacın altını çizdi.
Verilere maruz kaldığı bilinen şirketler ve kullanıcılar/müşteriler, şifrelerini derhal değiştirmeli ve aynı şifreleri birden fazla hesap için tekrar kullanmaktan kaçınmalıdır. Her hesap için güçlü, benzersiz parolalar oluşturun ve ek bir güvenlik katmanı olarak iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin.
Potansiyel kimlik avı girişimleri veya ek bilgi için şüpheli istekler meydana gelebileceğinden, e-postaları ve telefon numaralarını ifşa ederken dikkatli olun. Karşı taraftaki kişinin ve talebin meşru olduğundan emin olmak için banka veya kredi kartı bilgileri gibi hassas bilgilere yönelik talepleri doğrulayın.
İLGİLİ KONULAR
- DNA Hizmetinden 7 Milyon 23andMe Kullanıcısının Verileri Hacklendi
- Araştırmacılar PC’ye Bulaşmak İçin Fiziksel DNA’yı Kötü Amaçlı Yazılımla Kodluyor
- DNA testi web sitesi MyHeritage hacklendi; 92 milyon kullanıcı hesabı çalındı