Çevrimiçi Hediye Kartı Satıcısında Güvenlik Açığı
Bir ABD çevrimiçi hediye kartı mağazası, internet üzerinden yüz binlerce müşteri kimlik belgesini ifşa eden bir çevrimiçi depolama sunucusu güvence altına aldı.
İfşa Edilen Kimlik Belgeleri
Bir güvenlik araştırmacısı JayeLTee, geçtiğimiz yılın sonunda, yüksek sayıda sürücü belgesi, pasaport ve diğer kimlik belgelerinin depolandığı MyGiftCardSupply adlı çevrimiçi hediye kartı satış sitesine ait, şifrelenmemiş bir depolama sunucusunu buldu. Bu site, kullanıcıların popüler markalar ve çevrimiçi hizmetler için dijital hediye kartları satın almasını sağlıyor.
MyGiftCardSupply’nin web sitesinde, müşterilerin kimlik belgelerinin bir kopyasını yüklemelerinin ABD anti para aklama yasalarına uyum sağlama çabası olduğu belirtiliyor. Bu süreçler genellikle “müşterini tanı” (KYC) kontrolleri olarak biliniyor.
Verilerin Açık Erişime Sunulması
Bununla birlikte, şifreli olmayan depolama sunucusu, verileri internet üzerinden herkesin erişimine sunuyordu.
JayeLTee, durumu fark etmesi ardından TechCrunch’a bilgi verdi. MyGiftCardSupply, araştırmacının e-postasına yanıt vermeyince durumu bildirmek zorunda kaldı.
TechCrunch ile temasa geçen MyGiftCardSupply’nin kurucusu Sam Gastro, bu güvenlik açığını doğruladı. Gastro: “Dosyalar artık güvende ve KYC doğrulama prosedürünün tamamını gözden geçiriyoruz.” dedi ve ekledi: “Gelecekte, kimlik doğrulama işlemlerinden sonra dosyaları derhal sileceğiz.”
Ancak, Gastro, verilerin ne kadar süre açık kaldığını belirtmekten kaçındı ve şirket, etkilenen bireylere bilgi verme taahhüdünde bulunmadı. Ayrıca MyGiftCardSupply’nin neden araştırmacının e-postasına yanıt vermediğini ve güvenlik açığını gidermediğini de açıklamadı.
Exposed Data Details
JayeLTee’ye göre; Microsoft’un Azure bulutunda barındırılan ve 600,000’den fazla kimlik belgesi ile 200,000 civarında müşteri selfie’sine erişim sağlandı. Müşterilerin kim olduklarını doğrulamak ve sahte belgeleri ayırt etmek için sık kullanılan yöntemlerden biri, müşterilerin kimlik belgeleriyle birlikte selfie çekmeleri için istek yapmaktır.
Sunucudaki en son yüklenen belgenin tarihi 31 Aralık 2024; yani MyGiftCardSupply, açığı düzeltene kadar binlerce müşteri kimlik belgelerini bu sunucuya yüklemeye devam etti.
This incident is yet another example of the ongoing issues and data breaches involving identity documents in KYC protocols, which remain one of the primary methods for verifying customer identity.
Diğer Olaylar ve KYC Sorunları
Geçtiğimiz Nisan ayında, bir hacker büyük bir tarama veritabanı olan World-Check’in çalındığını iddia etti. Bu veritabanı, şirketlerin potansiyel suç faaliyetlerine karışmış ya da yüksek riskli olup olmadıklarını belirlemeleri için kullanılıyor. Sızan verilerin bir kopyası, veritabanının isimler, doğum tarihleri, pasaport ve Sosyal Güvenlik numaraları ile banka hesap bilgilerini içerdiğini gösterdi.
JayeLTee, ayrıca bir konut bulma sitesi olan Roomsterda 320,000’den fazla pasaport ve sürücü belgesi içeren başka bir KYC belgesi bulduğunu bildirdi. Roomster’ın CEO’su John Shriber, TechCrunch’ın yorum talebine cevap vermedi.
Roomster, 2023’te, Federal Ticaret Komisyonu’nun şikayeti üzerine milyonlarca kullanıcısını dolandırdığı gerekçesiyle 1.6 milyon dolar tazminat ödemeye mahkum edildi. Bu olay, kullanıcıların doğrulanmamış ilanlar ve sahte yorumlar yayınlaması iddiasıyla gerçekleşmişti.
