Fotoğraf kabini şirketinin sitesinde kritik güvenlik açığı
Bir fotoğraf kabini üreticisinin internet sitesinde tespit edilen basit bir güvenlik açığı, müşterilerin çektiği fotoğraf ve videoların çevrim içi olarak izinsiz şekilde görüntülenebilmesine yol açtı. Açığı ortaya çıkaran güvenlik araştırmacısına göre sorun, şirketin dosyaları sakladığı sunuculardaki hatalı yapılandırmadan kaynaklanıyor.
Gençlerin fotoğrafları sunucularda korunmasız kaldı
Zeacer takma adını kullanan siber güvenlik araştırmacısı, açığı fark ettikten sonra şirketi uyardığını, ancak herhangi bir geri dönüş alamadığını belirtiyor. Araştırmacı, şirketin sunucularından aldığı örnek görüntülerde, fotoğraf kabinlerinde poz veren genç grupların açıkça seçilebildiğini aktarıyor.
İlgili şirketin ürettiği fotoğraf kabinleri, yalnızca anlık baskı almakla kalmıyor; çekilen fotoğraf ve videoları otomatik olarak şirketin sunucularına da yükleyip saklıyor. Güvenlik açığı da tam bu noktada devreye girerek, bu içeriklere yetkisiz erişimi mümkün kılıyor.
Uyarılara rağmen şirket sessizliğini koruyor
Fotoğraf kabini markasının sahibi konumundaki Vibecast adlı şirketin, araştırmacının uyarılarına yanıt vermediği ifade ediliyor. Aynı şekilde, olayla ilgili olarak yapılan yorum taleplerine de karşılık verilmediği aktarılıyor.
Güvenlik açığının halen tamamen giderilmediği ve müşteri verilerinin risk altında olmaya devam ettiği belirtiliyor. Devam eden risk nedeniyle, açığı tespit eden kaynaklar, zafiyetin teknik ayrıntılarını kamuya açıklamayı şu an için uygun bulmuyor.
Silme süresi kısaldı ama risk devam ediyor
Zeacer, açığı ilk bulduğunda fotoğrafların sunucularda iki ila üç hafta boyunca tutulduğunu söylüyor. Bugün ise içeriklerin yaklaşık 24 saat sonra silindiğini gözlemliyor. Bu değişiklik, aynı anda erişilebilen fotoğraf sayısını azaltsa da, açığın etkisini tamamen ortadan kaldırmış değil.
Araştırmacıya göre, bir saldırgan bu zafiyetten yararlanarak her gün sunucuda o an bulunan tüm fotoğraf ve videoları toplu şekilde indirebilir. Yani silme süresinin kısalması, yalnızca maruziyet süresini azaltıyor; ancak verilerin güvenliğini garanti etmiyor.
Melbourne örneği: Binlerce fotoğraf çevrim içi görülebildi
Zeacer, bu hafta öncesinde bir noktada, şirketin Melbourne bölgesindeki fotoğraf kabinlerine ait 1.000’den fazla fotoğrafın çevrim içi olarak erişilebilir durumda olduğunu gördüğünü aktarıyor. Bu sayı, açığın ne kadar geniş bir kullanıcı kitlesini etkileyebileceğini gösteriyor.
Temel siber güvenlik önlemleri uygulanmamış
Uzmanlara göre bu olay, bazı şirketlerin hâlâ en temel siber güvenlik pratiklerini bile tam olarak uygulamadığını ortaya koyuyor. Özellikle, kısa sürede çok sayıda isteği engelleyen “rate limiting” (istek sınırlandırma) gibi yaygın önlemlerin devreye alınmaması, otomatik araçlarla yapılan saldırıları kolaylaştırıyor.
Geçtiğimiz aylarda, farklı bir örnekte, Tyler Technologies adlı büyük bir kamu teknoloji yüklenicisinin, mahkemelerin jüri üyesi bilgilerinin yönetildiği sitelerinde benzer şekilde yeterli istek sınırlandırma kullanmadığı ortaya çıkmıştı. Bu zafiyet, kötü niyetli kişilerin, doğum tarihi ve kolay tahmin edilebilir sayısal kimlikler üzerinden jüri profillerini hedef almasına imkân tanıyordu.
Fotoğraf kabini şirketinde tespit edilen son olay, kişisel verileri işleyen tüm kurumların, temel güvenlik kontrollerini eksiksiz uygulaması gerektiğini bir kez daha hatırlatıyor.
-
-
-
-
