Teknolojiye olan bağlılık arttıkça insanların teknoloji firmalarından talepleri de daha fazla gizlilik ve daha fazla mahremiyete yönelik oluyor. Comparitech gibi firmalar da verilerin gizliliğinin sağlanması, siber güvenlik gibi alanlarda hizmetler sunuyor.
Comparitech şimdi devasa bir veri açığını ifşa etti. Güvenliği sağlanmamış olan bir veri tabanı nedeniyle yaklaşık 235 milyon Instagram, TikTok ve YouTube kullanıcı profilinin açığa çıktığı belirtildi.
Güvene alınmamış veri tabanları risk oluşturuyor
Geçtiğimiz günlerde dark webin siber suçlar forumlarında ortaya çıkan bilgilere göre 100 bin kadar açıktan gelen 15 milyar giriş bilgisi çalınmıştı. Hatta bu bilgilerin sahibi olan hacker, 386 milyon çalıntı kaydı ücretsiz yayınlamıştı. Bu veriler hesapların ya da firmaların hacklenmesiyle değil, güvenceye alınmamış veri tabanlarına ulaşılmasıyla elde edilmişti.
Güvenceye alınmamış veri tabanları son dönemde oldukça ciddi bir güvenlik sorunu haline geldi. Örneğin “Meow” saldırıları sonucunda binlerce korumasız veritabanı ağıt hasar gördü. Comparitech araştırmacılarının bulgularına göre 1 Ağustos’ta bu tür açıklarla dolu veritabanlarında 235 milyon Instagram, TikTok ve YouTube kullanıcı profili yer alıyordu.
Veriler birkaç farklı sete ayrılmış durumda ve aralarında en çok dikkat çekeni de her biri 100 milyona yakın Instagram profilinin kayıtlarının bulunduğu setler oldu. Üçüncü sette 41 milyon TikTok kullanıcısının ve 4 milyon kadar da YouTube kullanıcısının verileri yer alıyordu.
Kullanıcı verileri açığa çıktı
Comparitech’in açıklamalarına göre, incelenen örneklerde her beş hesaptan en azından birinde ya telefon numarasına ya da e-posta adresine rastlandı. Kayıtlarda aşağıdaki bilgilerin en azından biri yer aldı:
- Profil ismi
- Gerçek isim
- Profil fotoğrafı
- Hesap tanımı
Ayrıca veritabanları hesaplar hakkında çeşitli istatistikler de içeriyordu. Bu istatistikler şunlar oldu:
- Takipçi sayısı
- Etkileşim oranı
- Takipçi artış oranı
- İzleyici kitlesi cinsiyeti
- İzleyici kitlesi yaşı
- İzleyici kitlesi yeri
- Beğeniler
- Son gönderi zamanı
- Yaş
- Cinsiyet
Araştırmacılar sızıntıların kaynağını araştırdıklarında ise Deep Social adlı firmaya ulaştılar. Daha önce Facebook ve Instagram ile çalışan ancak 2018 yılında müşteri verilerini topladığı gerekçesiyle yasaklanan grup daha sonra iflasını açıklamıştı. Firma temsilcileri kendi veritabanlarının Social Data tarafından tutulduğunu ve batışları sonrasında silindiğini söyledi. Social Data ise bu iddiayı yalanladı.
Bilgilerin açığa çıkması özellikle phishing gibi saldırılara zemin hazırlayabilir. Henüz açıktan kimlerin etkilendiği kesin olarak bilinmiyor.