Bir milyona yakın pasaport ve fotoğraflı kimlik internette korumasız bulundu: zincirin neresinde kırıldı?
Veri ihlalleri çoğu zaman bir saldırgan figürü etrafında anlatılır. The Verge'in aktardığı son olay farklı bir hat çiziyor: ortada saldırgan yok, yalnızca açık bırakılmış bir bulut depolama klasörü var.
Gazetenin raporuna göre, kullanıcı kimlik doğrulama platformları Nefos ve PuffPal tarafından toplanan yaklaşık 950.000 pasaport, ehliyet ve fotoğraflı kimlik internette parola olmadan erişilebilen bir Amazon S3 kovasında bulundu.
Her iki şirket de düzenlemeye tabi sektörlerde — biri kannabis kulüpleri için yaş doğrulama, diğeri online tütün satışları için yaş doğrulama — sağlanan müşteri kimliklerini saklıyordu. Sektörler farklı ülke kuralları altında çalışsa da depolama altyapısı aynı dış kovayı kullanıyordu.
Güvenlik araştırmacısı Jeremiah Fowler kovayı tarama sırasında buldu ve The Verge'e bildirdi. Fowler, kovanın "public-read" izniyle yapılandırıldığını, yani internet üzerindeki herkesin doğrudan listeyi tarayıp belge indirebileceğini söyledi.
En hassas dosyalar tam çözünürlüklü pasaport tarama görüntüleri. Bu görüntüler kimlik hırsızlığı pazarında bir banka kartının kat kat üzerinde değer taşıyor. Yetişkin yaş doğrulaması kapsamında bazı kullanıcılar selfie+belge eşleştirmesi yaptırmıştı; ikisi birden internette serbestçe okunabiliyordu.
The Verge'in ulaştığı her iki şirket de yayından sonra kovayı kapatma yoluna gitti. Ne kadar süre açık kaldığı ve kaç indirme yapıldığı henüz belirsiz. Şirketlerin yorumlarına yer verildi; her ikisi de hatayı kabul etti.
Yasal düzlemde sonuçlar ağır olabilir. AB'deki GDPR, kasıt olsa da olmasa da yapılandırma hatası kaynaklı bu tür sızıntılar için cironun yüzde 4'üne kadar para cezası öngörüyor. ABD eyalet düzeyinde Kaliforniya'nın CCPA, kullanıcı başına asgari 100 dolar tazminat tabanı çiziyor.
Benzer olaylar tek seferlik değil. Güvenlik şirketleri, son üç yılda S3 yapılandırma hatasından kaynaklanan kimlik belgesi sızıntılarının sayısının yıllık yüzde 18 oranında büyüdüğünü söylüyor. Bulut depolama varsayılan ayarlarındaki belirsizlik, en sık nedensel etken.
Bu olay, küçük üçüncü taraf doğrulama hizmetlerinin denetim zinciri sorununu da gözler önüne seriyor. Bir bar veya online dispanser kimlik istediğinde, son saklamayı yapan firma değiştiğinde kullanıcının riski genişliyor; düzenleyici çerçeve henüz bu mimariyi kapsamıyor.
Vesper, teknoloji ve güvenlik haberlerini bilgi amaçlı sunar. Kişisel veri ihlalinden etkilendiğinizi düşünüyorsanız ilgili ulusal veri koruma otoritesine başvurun.
Bunları da okuyun
Drone teslimat artık bir merak değil: Alphabet'in Wing servisi ne öğretiyor?
Alphabet'in drone teslimat birimi Wing'in operasyonel ölçeği, son bir yılda televizyon haberi olmaktan çıkıp lojistik sektörünün gözlem listesine girdi. TechCrunch'ın aktardığı operasyonel rakamlar, drone teslimatın artık bir merak değil yerleşik bir akış olduğunu gösteriyor.
İnternette arama için yapay zeka şart değil: Google aleyhindeki yeni mahkeme kararı ne diyor?
ABD'de bir federal mahkeme, Google aleyhindeki çok parçalı antitröst davasında dikkat çekici bir tespit yaptı: yapay zeka, arama hizmeti için kaçınılmaz bir özellik değil. Ars Technica'nın aktardığı karar, Google'ın AI Overviews savunmasını doğrudan zayıflatıyor.
ABD teknoloji şirketlerine yönelik saldırıların yüzde 46'sı Kuzey Koreli aktörlerden geliyor: CrowdStrike raporu
Siber güvenlik şirketi CrowdStrike'ın yeni raporu, son bir yılda ABD teknoloji sektörüne yönelik hedefli siber saldırıların yüzde 46'sının Kuzey Kore bağlantılı aktörlerden geldiğini söylüyor. TechCrunch'ın aktardığına göre saldırılar yalnızca veri hırsızlığı değil, sahte iş başvurularıyla sızma odaklı.
DiffusionGemma nedir? Google DeepMind'ın yerel AI'yı 4 kat hızlandıran açık modeli
Google DeepMind, açık model serisi Gemma'ya difüzyon mimarisini taşıyan DiffusionGemma'yı yayımladı. Ars Technica'nın aktardığına göre model, geleneksel transformer modellerine kıyasla yerel cihazda dört kat daha hızlı çalışıyor ve dizüstü-cep telefonu performans dengesini yeniden tartışmaya açıyor.
NASA, Artemis III için mürettebatı belirledi ve hızlı bir takvim hedefliyor
Ars Technica'ya göre NASA, Apollo'dan bu yana ilk insanlı Ay yüzey görevi Artemis III için mürettebatı resmen açıkladı ve fırlatma için iddialı bir takvim koydu. Görev mimarisindeki kritik bileşenler hâlâ test aşamasında.
