Peter Thiel'in kurucu ortaklarından olduğu davetli bazlı özel grup Dialog, geçtiğimiz hafta üyelerine ve etkinlik katılımcılarına bir veri ihlali yaşandığını bildirdi. Şirket, kişisel bilgilerin bulunduğu bir veritabanının kötü niyetli bir bilgisayar korsanı tarafından ele geçirildiğini iddia etti. Ancak WIRED'in yaptığı analiz, dosyaların aslında grubun uygulamasının açılış sayfasını ziyaret eden herkes tarafından okunabildiğini ortaya koydu. Siber güvenlik uzmanlarının belirttiğine göre bu, verileri fiilen herkese açık hale getiren bir yanlış yapılandırmaydı.
Dialog yönetici direktörü Juliette Levine tarafından e-posta ile gönderilen ve WIRED ile paylaşılan bildirimde, adli bilişim uzmanlarının 113 eski Dialog etkinlik katılımcısının isminin ifşa olduğunu ve bu yazki Dialog inzivasına kayıtlı 'bazı' kişilerin bilgilerine erişildiğini tespit ettiği belirtildi. Levine, kuruluşun bu olaya yanıt olarak birçok sistemini geçici olarak kapattığını söyledi. Levine, sızıntının 'Amerika Birleşik Devletleri'nde aranan tanınmış bir suçlu tarafından gerçekleştirilen bir hack olduğunu' iddia ederek, grubun 'her Dialog üyesinin güvenliğini, mahremiyetini ve itibarını korumak için ihtiyaten' hareket ettiğini ekledi.
Ancak sitenin herkese açık mimarisinin birden fazla incelemesi, bir izinsiz giriş değil, bir yanlış yapılandırmaya işaret ediyor. WIRED, Dialog kayıtları hakkında ilk kez geçen hafta haber yaptı. Bu kayıtlar, Dialog'un ihlal bildiriminde doğruladığı 113 ismin listesini (aralarında bir NATO komutanı, iki ABD senatörü ve ABD Hazine Bakanı da var) ve İrlanda'nın Dublin kenti yakınlarındaki Ağustos inzivasına kayıtlı daha uzun bir listeyi içeriyor. WIRED ayrıca, grubun katılımcıları özel olarak nasıl puanladığını, kabul, oturma ve fiyatlandırma kararlarında zenginliklerini ve önemlerini tarttığını ortaya koyan kayıtları da haberleştirdi.
Ağustos toplantısı için bir telefon uygulaması dağıtmak üzere oluşturulan bir Dialog sitesi, herhangi bir ziyaretçinin herhangi bir e-posta adresini kullanarak kaydolmasına izin veriyordu. Şifre istemiyordu. E-posta gönderildikten sonra ziyaretçi neredeyse boş bir bekleme sayfasına yönlendiriliyordu; aynı sayfa, yaklaşık 200 kişinin dahili dosyalarını tarayıcılarına yüklüyordu. Dosyaları görüntülemek, her büyük internet tarayıcısında yerleşik araçlarla sayfayı incelemekten biraz daha fazlasını gerektiriyordu.
Sonuç ve Değerlendirme
Bu süreçle erişilebilir hale gelen kayıtlar, ulusal güvenlik ve teknoloji alanındaki üst düzey isimleri (hem mevcut hem de eski) içeriyor. Kayıtlara göre yaklaşan Dialog etkinliğine kayıtlı olanlar arasında NATO yetkilileri; mevcut bir Beyaz Saray istihbarat yetkilisi; ABD istihbaratında üst düzey bir görevde bulunmuş emekli bir general; ve iki önde gelen yapay zeka firmasında ulusal güvenlik politikası ve ortaklıklarının başkanları yer alıyor. Diğer isimler arasında eski bir İngiltere güvenlik bakanı, eski bir Japonya savunma bakanı ve eski bir Pakistanlı diplomat bulunuyor. Neredeyse tümü için ifşa olan veriler, özel iletişim bilgilerinden aktif giriş token'larına kadar kapsamlı.
Gelecekte Ne Bekleniyor?
Kayıtlar ayrıca katılımcı listeleri, programlar ve Dialog'un katılımcılardan bilgi toplamak ve Airtable veritabanlarında depolamak için kullandığı bir hizmet olan Fillout tarafından barındırılan tamamlanmış anketlerin bağlantılarını da içeriyordu. Bu formlardan birinin yüklenmesi, Dialog sayfasının içerdiğinden çok daha fazla bilgi döndürüyordu: doğum tarihleri, acil durum kişileri, cep telefonu numaraları, Dialog'un üyelerine atadığı siyasi eğilimler, dahili sıralamalar ve notlandırma notları ve üyelerin giriş bilgileri olarak işlev gören dijital anahtarlar. Bu bilgilerin çoğu doğrudan Dialog'un Airtable kayıtlarından geliyor gibi görünüyordu. Airtable yorum taleplerine yanıt vermedi.
WIRED'e yaptığı açıklamada Fillout, 'Fillout sistemlerinden herhangi birinin tehlikeye girdiğinin veya aktif bir platform güvenlik açığının farkında olmadığını' söyledi. Şirket, müşterilerin kendi formlarını, bağlı veri kaynaklarını ve iş akışlarını yapılandırdıklarını ve 'belirli bir formun davranışının bu yapılandırmaya bağlı olduğunu' belirtti. Fillout, herhangi bir müşterinin formları veya kayıtları hakkında yorum yapmayı reddetti.
Kaynak: wired.com