Hacktivist, yarım milyondan fazla stalkerware müşterisinin ödeme kayıtlarını ele geçirdi

Saldırı özetle

Bir hacktivist, tüketici odaklı stalkerware (telefon izleme) uygulamalarını sunan bir sağlayıcının web sitesinden 536.000’e yakın ödeme kaydını kazıyarak müşterilerin e-posta adresleri ve kısmi ödeme bilgilerini açığa çıkardı. Sızan veriler, bu uygulamalara ücret ödeyen ve başkalarını izlemek için hizmet satın alan kişilere ait.

Sızan verilerin kapsamı

Elde edilen kayıtlar, telefon takibi hizmetleri olarak bilinen Geofinder ve uMobix ile özel Instagram hesaplarına erişim iddiasındaki Peekviewer (eski adıyla Glassagram) gibi hizmetler de dahil olmak üzere aynı satıcı tarafından sunulan birçok izleme uygulamasına ait ödemeleri kapsıyor. Kayıtlar ayrıca bilinen bir telefon gözetim yazılımı olan Xnspy işlem kayıtlarını da içeriyor.

Sızan veri türleri

Veri setinde yaklaşık 536.000 müşteri e-posta adresi, müşterinin hangi uygulama veya marka için ödeme yaptığı, ödemenin tutarı, kullanılan kart türü (Visa, Mastercard gibi) ve kartın son dört hanesi yer alıyordu. Kayıtlarda ödeme tarihlerine yer verilmemişti.

Doğrulama ve güvenlik açığı

Veri bütünlüğü, kamuya açık kullanılan geçici e-posta hesapları üzerinden hesaplara şifre sıfırlama işlemi yapılarak doğrulandı. Ayrıca sızan veri setindeki benzersiz fatura numaraları, satıcının ödeme sayfalarıyla eşleştirilerek aynı müşteri ve işlem bilgilerinin şifre gerektirmeden sunulduğu tespit edildi. Bu durum, satıcının ödeme altyapısında erişim kontrolü zafiyeti olduğunu gösteriyor.

Saldırganın açıklaması ve verinin yayımlanması

Kendini ‘wikkid’ olarak adlandıran hacktivist, web sitesindeki “trivial” (basit) bir hata sayesinde veriyi kazıdığını belirtti ve bu tür insanları izlemeye yarayan uygulamaları hedef almaktan zevk aldığını söyledi. Sızdırılan kayıtlar daha sonra bilinen bir hacker forumunda paylaşıldı.

Satıcı kimliği ve bağlantılar

Forum kaydında satıcı Ersten Group olarak listelenirken, veri setinde bulunan bazı e-posta adresleri ve test hesapları Struktura adlı başka bir şirketi işaret ediyor; iki şirketin web siteleri arasında ciddi benzerlikler fark edildi. Veri setindeki en eski kayıtta Struktura’nın üst düzey yöneticisine ait olduğu görülen bir e-posta adresi bulunuyordu.

Stalkerware uygulamalarının riski

Stalkerware uygulamaları, hedef telefona yüklendikten sonra kurbanın çağrı kayıtları, kısa mesajlar, fotoğraflar, tarama geçmişi ve kesin konum verileri gibi özel bilgileri yükleyerek uygulamayı yükleyen kişiyle paylaşıyor. Bu tür yazılımlar sıklıkla aile içi gözetim amacıyla pazarlanıyor ve pek çok ülkede hukuka aykırı kabul ediliyor.

Tekrarlayan bir güvenlik sorunu

Son yıllarda birçok stalkerware sağlayıcısının, zayıf siber güvenlik uygulamaları nedeniyle hem kurbanların hem de bu hizmetleri satın alan müşterilerin verilerini sızdırdığı, kaybettiği veya açığa çıkardığı defalarca görüldü. Bu olay da sağlayıcıların altyapı güvenliğine yeterince önem vermediklerinde hem kurbanların güvenliğinin hem de müşterilerin mahremiyetinin tehlikeye girdiğini gösteriyor.

Sonuç

Bu tür olaylar, stalkerware gibi gözetim yazılımlarını sunan hizmetlerin hem kötüye kullanım riski hem de zayıf güvenlik uygulamaları nedeniyle büyük bir toplumsal ve hukuki risk taşıdığını bir kez daha ortaya koyuyor. Kullanıcı verilerinin korunması ve bu tür yazılımların yayılmasının önlenmesi için daha sıkı denetimler ve güvenlik önlemleri gerektiği açık.