Peter Thiel'in kurucu ortağı olduğu davetli özel grup Dialog, geçtiğimiz hafta üyelerine ve etkinlik katılımcılarına kişisel verilerinin bir siber suçlu tarafından çalındığını bildirdi. Ancak WIRED'in yaptığı analiz, dosyaların aslında grubun uygulama landing sayfasını ziyaret eden herkes tarafından okunabildiğini ortaya koydu. Siber güvenlik uzmanları, bunun bir hack değil, verileri herkese açık hale getiren bir yanlış yapılandırma olduğunu belirtiyor.
Dialog yöneticisi Juliette Levine tarafından e-postayla gönderilen bildirimde, adli incelemelerin 113 eski katılımcının isminin ve bu yazki Dialog inziva etkinliğine kayıtlı bazı kişilerin bilgilerinin ifşa olduğunu tespit ettiği belirtildi. Levine, kuruluşun bu duruma yanıt olarak birçok sistemini geçici olarak kapattığını söyledi. Ayrıca, sızıntının "Amerika Birleşik Devletleri'nde aranan tanınmış bir suçlu tarafından gerçekleştirilen bir hack" olduğunu iddia etti.
Ancak sitenin herkese açık mimarisinin birden fazla incelemesi, bunun bir izinsiz giriş değil, yanlış yapılandırma olduğunu gösteriyor. WIRED'in Dialog kayıtlarıyla ilgili raporuna göre, Ağustos ayında İrlanda'nın Dublin kenti yakınlarında düzenlenecek etkinlik için oluşturulan bir telefon uygulaması dağıtım sitesi, herhangi bir ziyaretçinin herhangi bir e-posta adresi kullanarak kaydolmasına izin veriyordu. Şifre istenmiyordu. E-posta gönderildikten sonra ziyaretçi neredeyse boş bir sayfaya yönlendiriliyordu; aynı sayfa, yaklaşık 200 kişinin dahili dosyalarını tarayıcıya yüklüyordu. Dosyaları görüntülemek için her büyük internet tarayıcısında bulunan araçlarla sayfayı incelemekten fazlası gerekmiyordu.
Bu süreçle erişilebilen kayıtlar arasında üst düzey ulusal güvenlik ve teknoloji isimleri yer alıyor. Kayıtlara göre, Dialog etkinliğine kayıtlı olanlar arasında NATO yetkilileri, bir Beyaz Saray istihbarat yetkilisi, ABD istihbaratında üst düzey görev yapmış emekli bir general ve iki önde gelen yapay zeka firmasının ulusal güvenlik politikası ve ortaklıklarından sorumlu başkanları bulunuyor. Diğer isimler arasında eski bir İngiliz güvenlik bakanı, eski bir Japon savunma bakanı ve eski bir Pakistanlı diplomat yer alıyor. Neredeyse herkes için ifşa olan veriler, özel iletişim bilgilerinden aktif giriş tokenlarına kadar kapsamlı.
Teknik Analiz
Kayıtlar ayrıca katılımcı listelerini, programları ve Dialog'un katılımcılardan bilgi toplamak için kullandığı ve Airtable veritabanlarında depoladığı Fillout tarafından hazırlanan anketlere bağlantıları içeriyordu. Bu formlardan birini yüklemek, Dialog sayfasının içerdiğinden çok daha fazla bilgi döndürüyordu: doğum tarihleri, acil durum kişileri, cep telefonu numaraları, Dialog'un üyelerine atadığı siyasi eğilimler, dahili sıralamalar ve notlar ile üyelerin giriş yapmak için kullandığı dijital anahtarlar. Bu bilgilerin çoğu doğrudan Dialog'un Airtable kayıtlarından geliyor gibi görünüyordu. Airtable, yorum talebine yanıt vermedi.
Fillout ise WIRED'e yaptığı açıklamada, 'Fillout sistemlerinin veya aktif platform güvenlik açığının herhangi bir şekilde ele geçirildiğinden haberdar olmadığını' belirtti. Şirket, müşterilerin kendi formlarını, bağlı veri kaynaklarını ve iş akışlarını yapılandırdığını ve 'belirli bir formun davranışının bu yapılandırmaya bağlı olduğunu' söyledi. Fillout, herhangi bir müşterinin formları veya kayıtları hakkında yorum yapmayı reddetti. Bu olay, özel grupların veri güvenliği konusunda ne kadar hassas olduğunu ve yanlış yapılandırmaların büyük sızıntılara yol açabileceğini bir kez daha gösteriyor.
Kaynak: wired.com