Peter Thiel'in kurucu ortakları arasında yer aldığı, davetiyeyle katılım sağlanan elit grup Dialog, geçtiğimiz hafta üyelerine ve etkinlik katılımcılarına bir veri ihlali yaşandığını duyurdu. Şirket, verilerin kötü niyetli bir bilgisayar korsanı tarafından çalındığını iddia etti. Ancak WIRED'in yaptığı analiz, durumun aslında bir 'hack' değil, ciddi bir yapılandırma hatası olduğunu ortaya koydu. Dialog'un etkinlik uygulamasına ait bir sayfa, herhangi bir şifre gerektirmeden ziyaretçilerin iç dosyalara erişmesine izin veriyordu. Bu da verilerin fiilen herkese açık hale gelmesine neden oldu.
Dialog Yönetici Direktörü Juliette Levine tarafından gönderilen e-postada, 113 geçmiş etkinlik katılımcısının isminin ifşa olduğu ve bu yaz Dublin'de yapılacak Dialog retreat'ine kayıtlı bazı kişilerin bilgilerine erişildiği belirtildi. Levine, 'Bu, ABD'de aranan tanınmış bir suçlu tarafından gerçekleştirilen bir hack'tir' diyerek, grubun 'tedbir amaçlı' birçok sistemini kapattığını açıkladı. Ancak WIRED'in güvenlik uzmanlarıyla yaptığı incelemeler, sistemde herhangi bir kırılma olmadığını, aksine bir yapılandırma hatası bulunduğunu gösterdi.
Dialog'un Ağustos retreat'i için oluşturduğu uygulama dağıtım sayfası, herhangi bir e-posta adresiyle kaydolmaya izin veriyordu. Şifre istemeyen bu sayfada, e-posta gönderildikten sonra kullanıcı neredeyse boş bir sayfaya yönlendiriliyordu. Ancak aynı sayfa, tarayıcıdaki geliştirici araçları kullanılarak incelendiğinde, yaklaşık 200 kişinin iç dosyalarına erişim sağlanabiliyordu. Bu dosyalar arasında katılımcı listeleri, programlar ve doldurulmuş anketlere bağlantılar yer alıyordu.
Nasıl Önlem Alınmalı?
Sızan veriler arasında NATO komutanı, iki ABD senatörü, ABD Hazine Bakanı, Beyaz Saray istihbarat yetkilisi, üst düzey bir ABD istihbarat emeklisi generali, iki önde gelen yapay zeka firmasının ulusal güvenlik politikası başkanları, eski bir İngiliz güvenlik bakanı, eski bir Japon savunma bakanı ve eski bir Pakistanlı diplomat gibi isimler bulunuyor. Bu kişilerin özel iletişim bilgileri, aktif giriş token'ları, doğum tarihleri, acil durum kişileri ve cep telefonu numaraları gibi hassas veriler herkese açıktı.
Ayrıca Dialog'un katılımcıları değerlendirmek için kullandığı özel puanlama sistemi de ifşa oldu. Grup, üyelerinin servetini ve nüfuzunu dikkate alarak kabul, oturma düzeni ve fiyatlandırma kararları alıyordu. Sızan belgelerde, katılımcıların siyasi eğilimleri, iç sıralamaları ve notlandırma notları gibi bilgiler de yer alıyordu. Bu verilerin büyük bir kısmı, Dialog'un Airtable veritabanlarından doğrudan alınmış gibiydi.
Dialog'un verileri toplamak için kullandığı Fillout servisi, WIRED'e yaptığı açıklamada sistemlerinde herhangi bir ihlal olmadığını belirtti. Şirket, müşterilerin kendi formlarını ve veri kaynaklarını yapılandırdığını, bu nedenle formların davranışının müşterinin yapılandırmasına bağlı olduğunu vurguladı. Airtable ise yorum talebine yanıt vermedi. Uzmanlar, bu tür yapılandırma hatalarının kurumsal veri güvenliğinde en sık karşılaşılan zafiyetlerden biri olduğuna dikkat çekiyor.
Dialog olayı, 'invite-only' grupların ve kapalı devre sistemlerin bile doğru yapılandırılmadığında büyük riskler taşıdığını gösteriyor. Veri sızıntısının ardından Dialog, birçok sistemini geçici olarak kapattığını duyurdu. Ancak bu olay, özellikle üst düzey isimlerin yer aldığı grupların siber güvenlik önlemlerini yeniden gözden geçirmesi gerektiğini ortaya koyuyor. Güvenlik uzmanları, kurumların veri erişim kontrollerini düzenli olarak denetlemeleri ve 'varsayılan olarak güvenli' prensibini benimsemeleri gerektiğini vurguluyor.
Kaynak: wired.com