Neon Uygulaması, Kullanıcı Verilerini Açığa Çıkardıktan Sonra Kapatıldı

Neon adlı viral bir uygulama, kullanıcıların telefon görüşmelerini kaydedip bu verileri AI şirketlerine satmak için ödeme yapma vaadiyle son haftalarda hızla popülarite kazandı. Uygulama, piyasaya sürülmesinin ardından en çok indirilen beş ücretsiz iPhone uygulamasından biri haline geldi.

Uygulama, yalnızca bir günde 75,000 kez indirildi ve binlerce kullanıcıya ulaştı. Neon, kullanıcıların telefon görüşmelerini kaydederek AI modellerinin geliştirilmesine katkıda bulunarak para kazanma imkanı sunduğunu öne sürdü.

Ancak, uygulamadaki bir güvenlik açığı yüzünden Neon, şu anda çevrimdışı durumda. Bu açık, herhangi bir kullanıcının başka birinin telefon numaralarına, çağrı kayıtlarına ve transkriptlerine erişebilmesine olanak tanıyordu.

TechCrunch, uygulamanın kısa bir testinde güvenlik açığını tespit etti ve uygulamanın kurucusu Alex Kiam‘a durumu bildirdi. Kiam, daha sonra uygulamanın sunucularını kapattığını ve kullanıcıları uygulamanın durdurulması hakkında bilgilendirmeye başladığını belirtti; ancak güvenlik açığını bildirmedi.

Görüşme Kayıtları ve Transkriptler Tehlikede

Neon uygulamasının sunucuları, giriş yapmış kullanıcıların başka kişilerin verilerine erişimini engellemiyordu. TechCrunch, yeni bir kullanıcı hesabı oluşturup telefon numarasını doğruladıktan sonra, uygulamanın arka uç sunucularıyla iletişimini incelemek için bir ağ trafiği analiz aracı kullandı.

Yapılan test çağrıları sonrasında uygulama, en son çağrılarımızın listesini gösterdi. Ancak, ağ analiz aracı, normal kullanıcıların göremediği detayları ortaya çıkardı; bu detaylar arasında çağrının metin transkripti ve ses dosyalarına erişim bağlantıları yer alıyordu.

Örneğin, TechCrunch’ın yaptığı bir test çağrısının transkripti, kaydın düzgün çalıştığını onaylayan bir metin içeriyordu.

Neon sunucuları, diğer kullanıcıların çağrı kayıtlarını ve transkriptlerini de ortaya çıkarabiliyordu.

TechCrunch, Neon sunucularının kullanıcıların en son çağrılarıyla ilgili verilere erişim sağladığını ve bu verilere halka açık bağlantılarla ulaşım sağladığını tespit etti.

Ayrıca, Neon sunucuları, kullanıcıların telefon numaraları ve aradıkları kişilerin numaraları gibi meta verileri açığa çıkaracak şekilde manipüle edilebiliyordu. Bu meta veri, çağrının yapıldığı zamanı, süresini ve her çağrının kazandığı parayı içeriyordu.

Bazı kullanıcıların, uygulamayı kullanarak gerçek dünyadaki konuşmaları gizlice kaydettikleri ve bu sayede para kazandıkları düşünülüyor.

Uygulama Şu An İçin Kapatıldı

TechCrunch’ın güvenlik açığını bildirmesinin ardından, Kiam, uygulamanın kapanışı hakkında bir e-posta gönderdi.

E-postada, “Veri gizliliğiniz bizim birinci önceliğimizdir ve bu hızlı büyüme döneminde tamamen güvenli olmasını istiyoruz. Bu nedenle, uygulamayı geçici olarak kapatıyoruz.” ifadeleri yer aldı. Ancak e-postada, herhangi bir güvenlik açığı veya kullanıcı verilerinin açığa çıkması hakkında bir bilgi verilmedi.

Neon’un ne zaman çevrimiçi olacağı ve bu güvenlik açığının uygulama mağazalarının dikkatini çekip çekmeyeceği henüz belirsizliğini koruyor.

Apple ve Google, Neon’un geliştirici yönergelerine uyup uymadığına dair sorulara henüz yanıt vermedi. Ancak, güvenlik sorunları olan uygulamaların bu platformlara girdiği ilk kez değil.

Kiam, uygulamanın lansmanından önce herhangi bir güvenlik incelemesine tabi tutulup tutulmadığına dair sorulara yanıt vermedi. Ayrıca, başka birinin bu açığı bulup bulmadığını veya kullanıcı verilerinin çalınıp çalınmadığını belirlemek için teknik araçların mevcut olup olmadığı hakkında da bilgi vermedi.

TechCrunch, Kiam’ın uygulamasına yatırım yapan firmalara da ulaşmaya çalıştı ancak henüz yanıt alınamadı.