Güvenli Olmayan Veritabanı 3,6 Milyon Passion.io Yaratıcısının Verilerini Açığa Çıkarıyor

vpnMentor'dan gelen bir rapora göre, büyük bir veri sızıntısı 3,6 milyondan fazla uygulama yaratıcısının, etkileyicinin ve girişimcinin kişisel bilgilerini riske attı. Siber güvenlik uzmanı Jeremiah Fowler, bir uygulama oluşturma platformuna bağlı, tam 12,2 terabayt hassas veri içeren güvenli olmayan bir veritabanını ortaya çıkardı.

Şifrelenmemiş veya parola ile korunmamış olan ifşa edilmiş veritabanında 3.637.107 kayıt bulunuyordu. Bu kayıtlar, adlar, e-posta adresleri, fiziksel adresler ve hem kullanıcılar hem de uygulama yaratıcıları gibi görünen kişiler için ödemelerle ilgili ayrıntıları içeriyordu.

Fowler'ın raporuna göre, dahili dosyalar ve veritabanının adı, verilerin Texas/Delaware merkezli bir şirket olan Passion.io'ya ait olduğunu gösteriyordu. Passion.io , kodsuz bir platform sunarak içerik oluşturucular, koçlar ve ünlüler gibi kişilerin teknik becerilere ihtiyaç duymadan kendi mobil uygulamalarını oluşturmalarına olanak sağlıyor. Bu uygulamalar, kullanıcıların etkileşimli kurslar sunmalarını ve abonelikler veya tek seferlik satın alımlar yoluyla para kazanmalarını sağlıyor.

İsimler, adresler ve hatta resimler gibi kişisel olarak tanımlanabilir bilgiler (PII) de dahil olmak üzere ifşa edilen bilgiler önemli riskler taşır. Fowler, bu tür verilerin suçlular tarafından siber suçlar için yaygın bir başlangıç ​​noktası olan "kimlik avı veya sosyal mühendislik saldırıları" için kullanılabileceği konusunda uyarıyor. Sızdırılan e-posta adresleri ve satın alma geçmişleri, güvenilir bir şirketi taklit ederek kişileri daha kişisel veya finansal ayrıntıları ifşa etmeye kandırmak için kullanılabilir.

Ayrıca, bazıları çocukları da içeren kullanıcı profil resimlerinin ifşa edilmesi ciddi gizlilik endişeleri doğurmaktadır. Bu resimler, kimliğe bürünme, sahte hesaplar oluşturma veya diğer çevrimiçi dolandırıcılıklar için kötüye kullanılabilir.

Araştırmacı, görünüşte zararsız olan görsellerin bile "potansiyel olarak silaha dönüştürülebileceğini veya etik olmayan amaçlar için kullanılabileceğini" belirtti. Kişisel verilerin ötesinde, veritabanında uygulama geliştiricileri tarafından satılan premium içerik gibi görünen video dosyaları ve PDF belgelerinin yanı sıra, geliştiricilerin gelirini baltalayabilecek ve rakiplere şirketin operasyonları hakkında fikir verebilecek dahili finansal kayıtlar da bulunuyordu.

Sızıntıyı keşfettikten sonra Fowler derhal Passion.io'yu bilgilendirdi. Şirket hızlı bir şekilde harekete geçti ve aynı gün veritabanına genel erişimi kısıtladı. Passion.io bulguyu kabul ederek "Gizlilik Görevlisi ve teknik ekibi sorunu düzeltmek için çalışıyor ve bunun bir daha olmamasını sağlıyor." dedi.

Bununla birlikte, şirketiniz veri işliyorsa, veritabanı yanlış yapılandırmalarından kaçınmak ve Passion.io'yu etkileyen gibi veri sızıntılarını önlemek için izlenecek 5 temel adım şunlardır. Aşağıdaki adımların mükemmelliği garanti etmeyeceğini ancak bir veritabanını açıkta bırakma ve kullanıcı verilerini sızdırma olasılığını azalttığını belirtmekte fayda var:

• Yönetimsel erişim için çok faktörlü kimlik doğrulamayı uygulayın.

• Hassas verileri kimlerin görüntüleyebileceğini veya değiştirebileceğini sınırlamak için rol tabanlı erişimi kullanın.

• Şifre veya erişim kontrolü olmadan hiçbir veritabanını açıkta bırakmayın.

• Güçlü şifreleme protokolleri kullanın ve anahtarlarınızı güvenli bir şekilde yönetin.

• Tüm hassas verilerin hem diskte hem de aktarım sırasında şifrelendiğinden emin olun.

• Kamuoyunun maruz kaldığı durumlar veya alışılmadık erişim kalıpları için uyarılar ayarlayın.

• Yanlış yapılandırmaları gerçek zamanlı olarak tespit etmek için bulut güvenlik araçlarını veya yapılandırma tarayıcılarını (örneğin, AWS Config, GCP Security Command Center) kullanın.

• Sadece uygulamanızı değil, depolama ve veritabanı katmanlarınızı da test edin.

• Altyapınızda rutin güvenlik açığı değerlendirmeleri ve sızma testleri gerçekleştirin.

• Geliştirme sırasında dokümantasyonu güncel tutun ve politikaları uygulayın.

• Altyapıyı yöneten tüm ekip üyelerinin bulut veritabanlarının güvenliğini nasıl sağlayacaklarını, izinleri nasıl yöneteceklerini ve riskli yapılandırmaları nasıl tespit edeceklerini bildiklerinden emin olun.