Hapn’in Güvenlik Açığı
GPS takip firması Hapn, bir web sitesi hatası nedeniyle binlerce müşterisinin isimlerini ifşa ediyor.
İfşa Edilen Müşteri Bilgileri
Kasım ayı sonlarına doğru bir güvenlik araştırmacısı, TechCrunch’a Hapn’ın sunucularından müşteri isimleri ve iş yerleri gibi bilgiler sızdığını bildirdi. TechCrunch, bu verilere erişim sağladı.
Hapn, daha önce Spytec olarak bilinen bir takip firmasıdır. Bu firma, kullanıcıların internet bağlantılı takip cihazlarının gerçek zamanlı konumunu uzaktan izlemelerini sağlar. Hapn, GPS takip cihazları üretip, bunları Spytec markası altında tüketicilere satar. Hapn, değerli eşyaların ve sevdiklerinin konumlarını izlemek için GPS cihazlarını tanıtmaktadır. Şirket, 460.000’den fazla cihazın takibinin yapıldığını belirtmekte ve Fortune 500 şirketleri arasında müşterileri bulunduğunu iddia etmektedir.
Açık, Kullanıcıları Tehdit Ediyor
Söz konusu güvenlik açığı, bir Hapn hesabı ile giriş yapan herkesin web tarayıcısındaki geliştirici araçları aracılığıyla sızdırılan verilere erişmesini sağlıyor.
8,600’den fazla GPS takip cihazı hakkında bilgi içeren veriler ifşa edildi. Bu verilere, her cihaza özgü SIM kartların IMEI numaraları da dahildir. Ancak, bu sızdırılan veriler arasında konum bilgisi bulunmamaktadır. Birçok kayıtta, GPS takip cihazlarının sahibi olan müşterilerin isimleri ve iş yerlerine ait bilgiler bulunmaktadır.
Şirketten Cevap Yok
Hapn, TechCrunch’ın birçok e-postasına yanıt vermedi. Şu anda, müşteri isimleri hala ifşa edilmiş durumda. Hapn CEO’su Joe Besdin’e atılan birkaç e-posta yanıtsız kaldı. Ayrıca, şirketin gizlilik politikasında belirtilen bir e-posta adresine gönderilen mesaj, o adresin var olmadığına dair bir hata ile geri döndü. Hapn’in güvenlik açıklarını bildirmek için bir web sayfası veya formu bulunmamaktadır.
TechCrunch, ifşaya uğrayan bilgiler arasında yer alan bireylerle iletişime geçtiğinde, birçok kişi isimlerini ve iş yerlerini doğruladı fakat GPS takip cihazını kullanma durumlarını tartışmayı reddetti. Hapn’ın web sitesinde kurumsal müşteri olarak listelenen bir şirketin, ifşaya uğrayan verilerde birçok takip cihazına sahip olduğu görülüyor.
Kritik Durum ve Kullanıcıların Farkındalığı
Güvenlik araştırmacısı, müşterilerin çevrimiçi incelemelerde bu cihazları eşlerini veya partnerlerini izlemek için tavsiye ettiğini bulduktan sonra GPS takip cihazını incelemeye başladı. TechCrunch, Spytec’in çevrimiçi mağazalarındaki kullanıcıların eşlerini izlemek için GPS cihazlarını kullandıklarını iddia ettikleri birçok inceleme görüntüledi.
Ayrıca, ifşaya uğrayan müşteri kayıtları arasında birçok takip cihazına sahip olan isimlerin listesi bulunuyor. Ancak, bu kişilerin takip edildiğinden haberdar olup olmadıkları bilinmiyor.
