WizCase’in Ata Hakçıl liderliğindeki güvenlik ekibi, popüler çevrimiçi perakendeci Cosmolog Kozmetik’in veritabanında büyük bir ihlal tespit etti. Bu ihlal, kullanıcıların adlarını, e-posta adreslerini, adreslerini, telefon numaralarını, sipariş ayrıntılarını ve daha fazlasını içeriyor. Bu bilgilere erişmek için bir parolaya veya oturum açma bilgilerine gerek yoktu ve veriler şifrelenmemişti dedi.
Cosmolog Kozmetik Türk perakendecis şirketi ve Trendyol, Hepsiburada ve Unishop dahil olmak üzere neredeyse tüm büyük Türk e-ticaret platformlarında faaliyet göstermektedir. Şirket öncelikle cilt bakımı ve parfüm gibi güzellik ürünlerinin satışı ve nakliyesi ile ilgilenmektedir. Ayrıca “Marketlog” adı altında başka mallar da satıyorlar.
Yapılan açılamada Etik siber araştırmacılardan oluşan ekibimiz, satıcıya ait, 9500’den fazla dosya ve toplamda yaklaşık 20 GB veri içeren, açıkta kalan bir Amazon S3 bucket keşfetti dedi. Türk CERT ve Amazon (hosting) ile birkaç kez iletişime geçtik. Yazışma sorasında, Cosmolog’un web sitesine erişilebilir değildi diyede sözlerine devam etti.
Cosmolog Kozmetik’in veri ihlali, 5400’den fazla Excel dosyasına erişim sağladı ve birden fazla e-ticaret sitesinde 567.000’den fazla benzersiz kullanıcı tarafından yapılan 637.000’den fazla benzersiz siparişi açığa çıkardı. Sızdırılan sipariş kayıtları, müşterilerin adlarını, soyadlarını, fiziksel adreslerini ve satın alınan ürünler ve ürün miktarı gibi satın alma ayrıntılarını ortaya çıkardı. Ancak veri ihlalinde kredi kartı numaraları gibi herhangi bir ödeme bilgisi bulunamadı. Açıklanan kullanıcı bilgileri, müşterinin Cosmolog Kozmetik’ten ürün satın almak için kullandığı platforma bağlıydı. Kullanıcı tarafından sağlanan veri miktarı, sitelerin Cosmolog ile paylaştıklarına göre değişir.
Aşağıda şirketin faaliyet gösterdiği platformlar ve hangi platformda hangi verilerin olduğu bilgiler bulunmaktadır.
İnternet sitesi | İsimler ve Soyadlar | Adres | E/H | Telefon numarası | Ödeme bilgileri |
Cosmolog’un Web Sitesi | Evet | Evet | Evet | Evet | Hayır |
Unishop Unilever | Evet | Evet | Evet | Evet | Hayır |
N11 | Evet | Evet | Evet | Evet | Hayır |
GittiGidiyor | Evet | Evet | Evet | Evet | Hayır |
Hepsiburada | Evet | Evet | Evet | Hayır | Hayır |
Trendyol | Evet | Evet | Hayır | Hayır | Hayır |
Siparişler sık sık güncelleniyordu. Eylül 2019’a kadar uzanan eski dosyalar ve en eskileri güncelleniyordu ve ihlali keşfettiğimizde en eskileri hala güncelleniyordu. Kova ayrıca 4000’den fazla resim içeriyordu, bunların neredeyse tamamı web sitelerinden alınan ürün resimleriydi, diğerleri ise Cosmoslog personeli tarafından çekilen iptal edilen siparişlerden (çoğunlukla hasarlı mallar) alınan resimlerdi.
Cosmolog’un ana şirketi Gercek Kozmetik, Unishop’un ana şirketi Unilever ile yakın bir ilişki içerisindedir. Cosmolog, Unishop’un gizlilik sayfasında ortak sorumlu olarak bile listeleniyor. Bu yüzden Unishop’tan, örneğin Hepsiburada ve Trendyol’dan daha fazla bilgi açığa çıktı.
Bu ihlalin en büyük tehlikesi, Cosmolog Kozmetik’in birden fazla e-ticaret platformu kullanmasıdır. Bu Türkçe sitelerdeki birçok kullanıcı, mal satın alırken satıcının adını kontrol etmiyor ve maruz kaldıklarının farkında olmayabilir. Trendyol veya Hepsiburada gibi Türk platformlarından mal satın aldıysanız, bu ürünleri size kimin sattığını kontrol etmeniz önemlidir. Herhangi bir Cosmolog Kozmetik veya Marketlog ürünü satın aldıysanız risk altında olabilirsiniz.
Riskler Nelerdir ve Kendinizi Nasıl Koruyabilirsiniz?
Kimlik Avı: Çok sayıda PII (kişisel olarak tanımlayıcı bilgiler) açığa çıktığında, dolandırıcı ve bilgisayar korsanları, kullanıcıları kredi kartı bilgilerinin çalınabileceği kötü niyetli web sitelerine yönlendirmeye çalışan e-postalarla kullanıcılarla iletişim kurmaya çalışabilir. Sahip oldukları daha fazla bilgi, bu e-postalar daha güvenilir görünebilir. Örneğin, bir saldırgan, sizi ödeme ayrıntılarınızı vermeye ikna etmek için bir Cosmolog temsilcisi veya çevrimiçi e-ticaret platformlarından birinin temsilcisi gibi görünmek için yukarıda açıklanan bilgileri kullanabilir.
Dolandırıcılık ve Dolandırıcılık: Sipariş detaylarının ifşa edilmesi, kötü niyetli kişilerin Cosmolog Kozmetik veya müşterilerinden para çalmak için geri ödeme dolandırıcılığı gibi yaygın dolandırıcılık taktiklerini kullanabileceği anlamına gelir.
Hırsızlık: Adlar ve fiziksel adresler gibi açıkta kalan PII’ler, kötü niyetli kişilerin gönderileri kullanıcıların adreslerine kadar takip etmesine ve gönderileri geldiklerinde çalmasına izin verebilir.
Ne yazık ki, riskler yukarıdaki liste ile sınırlı değil ve siber suçlular her zaman internet’teki savunmasız herkesten faydalanmak için yeni yöntemler geliştirmektedir.
Gelecekteki amaçlar için, internette bir satın alma işlemi yaparken veya bir hesap oluştururken her zaman minimum düzeyde bilgi girmenizi öneririz . Bilgisayar korsanlarına çalışması için ne kadar az bilgi verirseniz, saldırıya karşı o kadar az savunmasız olursunuz.
Çoğu e-posta istemcisinin spam ve kimlik avı girişimlerini engelleme yöntemleri olsa da, bunlar %100 etkili değildir. Görünüşte güvenilir bir kaynaktan beklenmedik bir e-posta aldığınızda, ekleri açmayın. Kimlik avı e-postaları, kullanıcıları eki açmaya zorlamak için genellikle korkutma taktikleri kullanır. Güvenilir bir şirketten gelen bir e-postadan emin değilseniz, onları arayın. Bu genellikle ekin meşru olup olmadığını doğrulamanıza izin verir. İyi bir virüsten koruma programı, kötü amaçlı yazılımlardan, truva atlarından ve diğer tehlikelerden korunmaya da yardımcı olabilir.
Olası hırsızlık durumlarında dikkatli olunması gerekir. Beklenmedik bir şekilde kapınıza biri gelir ve belirli bir şirketi temsil ettiğini iddia ederse, her zaman şirketi arayın ve iddiasını doğrulayın.
Kaynak: wizcase.com