Veri güvenliğine dair tek büyük risk kötü amaçlı yazılımlar değil, hatalı yapılandırmalar da büyük veri ihlallerine sebep olabiliyor
Android uygulamalarını analiz eden araştırmacılar, potansiyel olarak 100 milyondan fazla kullanıcıya ait verilerin açığa çıkmasına neden olan ciddi bulut hataları keşfetti.
Check Point Research tarafından Perşembe günü yayınlanan bir raporda, en az 23 popüler mobil uygulamanın “üçüncü parti bulut hizmetlerinin hatalı yapılandırmalarını” içerdiği açıklandı.
Bulut hizmetleri, belki de pandeminin etkisiyle uzaktan çalışma modeline hızlı bir geçiş olması sebebiyle daha da artan şekilde, çevrimiçi hizmetler ve uygulamalar tarafından yaygın olarak kullanılmaktadır. Veri yönetimi, depolama ve işlemede yararlı olsa da, tutulan kayıtları açığa çıkarmak veya sızdırmak için yalnızca bir erişim veya yetkilendirme denetimi yeterlidir.
Özellikle uygulamalar, verileri farklı platformlarda depolamak ve senkronize etmek için genellikle gerçek zamanlı veri tabanlarıyla entegre olur. Ancak incelenen bazı uygulamaların geliştiricileri, kimlik doğrulama mekanizmalarının çalışıyor olduğundan emin olamadı.
Yayınlanan rapora göre CPR, e-posta kayıtları, sohbet mesajları, konum bilgileri, kullanıcı kimlikleri, şifreler ve resimler dahil olmak üzere .çeşitli veri sızıntıları yaşanan 23 Android uygulamasını inceledi.
İncelenen uygulamalar 10.000 ile 10 milyon arasında indirme sayısına sahip
İncelenen 13 senaryoda hassas veriler güvenli olmayan bulut ortamlarında herkese açık bir şekilde saklanmaktaydı. Bu uygulamaların her biri 10.000 ile 10 milyon arasında indirme sayısına sahip.
Örneğin, ekip taksi çağırma uygulamasını incelerken, uygulamanın veritabanına basit bir istek gönderebildi ve sürücüler, müşteriler, isimler, telefon numaralarını, müşteriyi araca alma ve gideceği yere bıraktıktan sonra gönderilen mesajların bir çıktısını alabildi.
Ekran kaydedici ve faks uygulamaları için arka uç veri yönetimi sağlayan bulut hizmetlerinin de yeterince güvenli olmadığı tespit edildi. CPR, uygulamaların dosyalarını analiz ederek depolanan kayıtlara ve faks belgelerine erişim sağlamak için gereken şifreleri elde etmeyi başardı.
Push bildirim anahtarları da, kimi uygulamalarda kötü amaçlı kullanıma karşı savunmasız bırakılmış bir şekilde bulundu. Bilgisayar korsanları Push hizmetlerine erişebildikleri takdirde, uygulama kullanıcılarına kötü amaçlı uyarılar gönderebilecekleri bir ortam yaratabilirler.
Araştırmacılar, bu güvenlik hatalarının, geliştiricilerin “üçüncü parti bulut hizmetlerini yapılandırırken ve uygulamalarına entegre ederken en iyi yöntemleri” takip etmemelerinden kaynaklandığını söylüyor.
CPR, “Gerçek zamanlı veritabanlarının hatalı yapılandırmaları yeni bir sorun değil, ancak [..] sorunun kapsamı hala çok geniş ve milyonlarca kullanıcıyı etkiliyor,” diyor. “Kötü niyetli bir aktör bu verilere erişim kazanırsa, bu potansiyel olarak hizmet kaydırmaya (diğer hizmetlerde aynı kullanıcı adı-parola kombinasyonunu kullanmaya çalışmak), dolandırıcılığa ve kimlik hırsızlığına neden olabilmekte.”
CPR, açıklama yapmadan önce uygulama geliştiricilerini yanlış yapılandırmalar konusunda bilgilendirdi.
Kaynak: theverge.com
Diğer Haberler
Microsoft’tan OneDrive “0x8004de40” Sorunu İçin Geçici Çözüm
Google, İş Araçlarına Getireceği Yenilikleri Duyurdu
Microsoft, Internet Explorer’ı 2022’de Nihayet Emekliye Ayırıyor