Bir güvenlik araştırmacısı, fotoğraf kabinleri üreten bir şirketin web sitesindeki basit bir açık nedeniyle müşterilerinin fotoğraf ve videolarını internete sızdırdığını ortaya çıkardı.
ARAŞTIRMACI ŞİRKETE UYARDI AMA YANIT ALAMADI
Zeacer adlı araştırmacı, Kasım ayı sonlarında bu güvenlik açığını Hama Film'e bildirdi ancak şirketten herhangi bir yanıt alamadı. Hama Film, Avustralya, Birleşik Arap Emirlikleri ve Amerika Birleşik Devletleri'nde franchise ağı bulunan bir fotoğraf kabini üreticisidir. Araştırmacı, TechCrunch'a Hama Film'in sunucularından alınan örnek fotoğraflar paylaştı; bu fotoğraflarda gençlerin fotoğraf kabinlerinde poz verdiği açıkça görülüyordu.
FOTOĞRAFLAR 24 SAAT SONRA SİLİNİYOR AMA AÇIK HALA DEVAM EDİYOR
Hama Film'in sahibi Vibecast, araştırmacının uyarı mesajlarına yanıt vermediği gibi, TechCrunch'ın yorum taleplerine de cevap vermedi. Cuma günü itibarıyla araştırmacı, şirketin güvenlik açığını tam olarak çözmediğini ve müşteri verilerini sızdırmaya devam ettiğini belirtti. Zeacer, ilk bulduğunda fotoğrafların sunuculardan iki ila üç haftada bir silindiğini not etmişti. Şimdi ise fotoğrafların 24 saat sonra silindiğini, bu durumun herhangi bir anda sızdırılan fotoğraf sayısını sınırladığını söyledi. Ancak bir hacker, keşfedilen bu açığı her gün kullanarak sunucudaki her fotoğraf ve videonun içeriğini indirebilir.
BU OLAY TEMEL GÜVENLİK EKSİKLİĞİNİN SON ÖRNEĞİ
Bu olay, en azından bir süreliğine, hız sınırlaması gibi temel ve yaygın kabul görmüş güvenlik uygulamalarını hayata geçirmeyen bir şirketin son örneği oldu. Geçen ay TechCrunch, devlet yüklenicisi devi Tyler Technologies'in, mahkemelerin jüri üyelerinin kişisel bilgilerini yönetmek için kullandığı web sitelerinde hız sınırlaması uygulamadığını bildirmişti. Bu, herkesin, doğum tarihlerini ve tahmin edilmesi kolay sayısal kimliklerini toplu halde tahmin edebilen bir bilgisayar komut dosyası çalıştırarak herhangi bir jüri üyesinin profilini kırabileceği anlamına geliyordu.
