UStrive’de güvenlik açığı: kullanıcı ve çocuk bilgileri erişime açıldı
UStrive adlı online mentorluk platformunda tespit edilen bir güvenlik açığı, kullanıcıların — aralarında çocukların da bulunduğu — kişisel bilgilerinin diğer giriş yapmış kullanıcılar tarafından görülmesine yol açtı. Platform, söz konusu açıklığı kapattığını belirtti, ancak kullanıcı bilgilendirmesi ve erişim denetimleriyle ilgili sorular yanıtlanmadı.
Ne oldu?
Bir araştırmacı veya platform kullanıcısı, giriş yaptıktan sonra siteyi gezinti sırasında ağ trafiğini inceleyerek kullanıcı profillerine ait bilgilerin tarayıcı araçlarında açıkça aktığını fark etti ve durumu platforma bildirdi. İncelemede, Amazon sunucularında barındırılan bir GraphQL uç noktasının (API) savunmasız olduğu ve buna bağlı sunucularda tutulan veri kümelerine erişim sağladığı görüldü.
Hangi veriler açığa çıktı?
Açığa çıkan veriler arasında kullanıcıların tam adları, e-posta adresleri, telefon numaraları ve kullanıcıların sisteme sağladığı diğer kamuya açık olmayan bilgiler yer aldı. Bazı kayıtlarda öğrencinin cinsiyeti ve doğum tarihi gibi daha hassas bilgiler de olduğu bildirildi.
Kaç kayıt etkilendi?
Keşifte en az 238.000 kullanıcı kaydının erişilebilir olduğu tespit edildi. Platform ise genel olarak 1,1 milyondan fazla öğrencinin mentor sistemi için kayıtlı olduğunu belirtiyor; hangi kayıtların ne düzeyde etkilendiğine dair ayrıntılı bir açıklama yapılmadı.
Platformun yanıtı ve hukuk süreci
Platform yetkilileri, sorunun giderildiğini ve güvenlik açığının remediasyon (düzeltme) işlemlerinin uygulandığını bildirdi. Ayrıca şirketin, bir eski yazılım mühendisiyle devam eden bir hukuk mücadelesi nedeniyle yanıt verme konusunda sınırlı olduğunu ileten bir açıklama yapıldı. Kullanıcıların bilgilendirilip bilgilendirilmeyeceği, kötü niyetli erişim tespiti yapılıp yapılamadığı ve platformun geçmişte güvenlik denetimlerinden geçirilip geçirilmediği konularında net bir bilgi paylaşılmadı.
Ne yapılmalı?
Bu tür olayların ardından etkilenen kullanıcıların alması gereken temel önlemler şunlardır:
- Hesap şifrelerinizi değiştirin ve her platform için benzersiz şifre kullanın.
- İki faktörlü kimlik doğrulama (2FA) varsa etkinleştirin.
- Şüpheli e-posta veya telefon mesajlarına karşı dikkatli olun; kimlik avı saldırılarına hazırlıklı olun.
- Eğer çocuklara ait bilgiler varsa, veliler hesap etkinliklerini ve paylaşılan bilgileri gözden geçirsin.
Sonuç
UStrive platformunda yaşanan bu güvenlik açığı, özellikle genç kullanıcıların kişisel verilerinin korunmasının ne kadar hayati olduğunu bir kez daha gösterdi. Platformun problemi gidermiş olması olumlu olsa da, kullanıcı bilgilendirmesi ve detaylı bir güvenlik değerlendirmesi yapılması güven artırıcı adımlar olacaktır.
