Peter Thiel'in kurucu ortağı olduğu davetli özel kulüp Dialog, geçtiğimiz hafta üyelerine ve eski etkinlik katılımcılarına bir bildirim göndererek kişisel bilgilerinin bir veri tabanının sızdırıldığını duyurdu. Ancak WIRED'in yaptığı analiz, bu verilerin aslında bir bilgisayar korsanı tarafından değil, kulübün uygulamasının yanlış yapılandırılması sonucu herkese açık hale geldiğini ortaya koydu. Bu durum, siber güvenlik uzmanlarının 'yanlış yapılandırma' olarak tanımladığı bir sorunun tipik bir örneği.
Dialog yöneticisi Juliette Levine tarafından e-posta yoluyla gönderilen bildirimde, adli incelemelerin 113 eski katılımcının isminin ve bu yazki Dialog retreat'ine kayıtlı bazı kişilerin bilgilerinin ifşa olduğunu tespit ettiği belirtildi. Levine, saldırının 'Amerika'da aranan tanınmış bir suçlu tarafından gerçekleştirildiğini' iddia ederken, kulübün 'her Dialog üyesinin güvenliği, mahremiyeti ve itibarını korumak için' birçok sistemi geçici olarak kapattığını ifade etti.
Ancak WIRED'in web sitesinin genel erişime açık mimarisini incelemesi, durumun bir bilgisayar korsanlığı değil, yanlış yapılandırma olduğunu gösterdi. Dialog, Ağustos ayında İrlanda'nın Dublin kenti yakınlarında düzenlenecek bir etkinlik için bir telefon uygulaması dağıtmak üzere bir site kurmuştu. Bu site, herhangi bir ziyaretçinin herhangi bir e-posta adresini kullanarak kaydolmasına izin veriyor ve şifre talep etmiyordu. E-posta gönderildikten sonra ziyaretçi neredeyse boş bir sayfaya yönlendiriliyor; aynı sayfa, tarayıcıya yaklaşık 200 kişinin dahili dosyalarını yüklüyordu.
Detaylar ve Etkileri
Bu dosyalar arasında NATO komutanları, ABD senatörleri, Hazine Bakanı, mevcut ve eski ulusal güvenlik yetkilileri, teknoloji şirketlerinin üst düzey yöneticileri gibi önemli isimlerin özel iletişim bilgileri, aktif giriş token'ları, doğum tarihleri, acil durum kişileri ve cep telefonu numaraları yer alıyordu. Ayrıca Dialog'un üyelere atadığı siyasi eğilimler, iç sıralamalar ve notlandırma notları da ifşa oldu. Bu verilerin büyük kısmı, Dialog'un Airtable veritabanlarından geldiği anlaşılan Fillout anketleri aracılığıyla toplanmıştı.
Bu yanlış yapılandırma, Dialog'un üyelerinin mahremiyetini ciddi şekilde tehlikeye attı. Uzmanlar, bu tür bir açığın, kuruluşların bulut tabanlı hizmetleri kullanırken erişim kontrollerini doğru şekilde yapılandırmamalarından kaynaklandığını belirtiyor. Özellikle Airtable ve Fillout gibi araçlar, hızlı veri toplama ve işleme imkanı sunarken, yanlış yapılandırma durumunda büyük güvenlik riskleri oluşturabiliyor.
Fillout, WIRED'e yaptığı açıklamada sistemlerinde herhangi bir açık bulunmadığını, müşterilerin kendi formlarını ve veri kaynaklarını yapılandırdığını belirtti. Airtable ise yorum yapmadı. Dialog'un bu olay sonrası nasıl bir önlem alacağı merak konusu. Ancak bu vaka, özel kulüplerin ve üst düzey isimlerin bile siber güvenlik konusunda yeterli önlemleri almadığında ne kadar savunmasız olabileceğini gösteriyor.
Kullanıcılar için pratik çıkarım: Kişisel verilerinizi paylaştığınız platformların güvenlik ayarlarını düzenli olarak kontrol edin. Kuruluşlar ise bulut hizmetlerini kullanırken erişim yönetimine özel önem vermeli, düzenli güvenlik denetimleri yapmalı ve çalışanları yanlış yapılandırma riskleri konusunda eğitmelidir. Dialog olayı, en güvenli görünen ortamların bile bir yanlış adımda büyük bir sızıntıya dönüşebileceğini hatırlatıyor.
Kaynak: wired.com