ABD’deki bir çevrimiçi hediye kartı mağazası, yüzbinlerce müşterinin devlet tarafından verilmiş kimlik belgesini internete açık şekilde ifşa eden bir çevrimiçi depolama sunucusunu güvence altına aldı.
Çevrimiçi JayeLTee kullanıcı adını kullanan bir güvenlik araştırmacısı, geçen yılın sonlarında, müşterilerin popüler markalarda ve çevrimiçi olarak kullanabilecekleri dijital hediye kartları satan bir şirket olan MyGiftCardSupply’a ait sürücü ehliyetleri, pasaportlar ve diğer kimlik belgelerini içeren, kamuya açık depolama sunucusunu buldu. hizmetler.
MyGiftCardSupply’ın web sitesi, genellikle “müşterinizi tanıyın” çekleri veya KYC olarak bilinen ABD kara para aklamayı önleme kurallarına uyum çabalarının bir parçası olarak müşterilerin kimlik belgelerinin bir kopyasını yüklemelerini gerektirdiğini söylüyor.
Ancak dosyaları içeren depolama sunucusunun şifresi yoktu, bu da internetteki herkesin içinde depolanan verilere erişmesine izin veriyordu.
JayeLTee, geçen hafta MyGiftCardSupply’ın araştırmacının açığa çıkan verilerle ilgili e-postasına yanıt vermemesinin ardından TechCrunch’ı bu risk konusunda uyardı.
MyGiftCardSupply kurucusu Sam Gastro, TechCrunch’a ulaştığında güvenlik açığını doğruladı. Gastro, “Dosyalar artık güvende ve KYC doğrulama prosedürünün tam denetimini yapıyoruz” dedi. “İleriye dönük olarak, kimlik doğrulamasını yaptıktan hemen sonra dosyaları sileceğiz.”
Gastro, verilerin ne kadar süreyle internette yayınlandığını söylemedi ve şirket, bilgileri kamuya açıklanan etkilenen kişilere bildirimde bulunma taahhüdünde bulunmadı. Gastro ayrıca MyGiftCardSupply’ın neden araştırmacının e-postasına yanıt vermediğini veya o sırada güvenlik açığını düzeltmediğini de açıklamadı.
JayeLTee’ye göre, Microsoft’un Azure bulutunda barındırılan açığa çıkan veriler, yaklaşık 200.000 müşterinin kimlik belgelerinin 600.000’den fazla ön ve arka görüntüsünü ve selfie fotoğrafını içeriyordu. KYC kontrollerine tabi şirketlerin, müşterinin söylediği kişi olduğunu doğrulamak ve sahteciliği ortadan kaldırmak için müşterilerinden kimlik belgelerinin bir kopyasını tutarken bir selfie çekmelerini istemesi alışılmadık bir durum değil.
Sunucuya en son yüklenen belge, MyGiftCardSupply’ın açığa çıkan sunucuyu güvence altına almasından bir gün önce, 31 Aralık 2024 tarihliydi. Önceki haftalarda binlerce müşteri kimlik belgelerini yükledi ve bu da depolama sunucusunun aktif olarak kullanıldığına işaret etti.
Bu, müşterinin kimliğini doğrulamak için en çok güvenilen tekniklerden biri olmaya devam eden KYC kontrolleri için kimlik belgelerini içeren, son yıllardaki uzun olaylar ve veri ihlalleri listesinin en sonuncusudur.
Geçen Nisan ayında bir bilgisayar korsanı, şirketlerin müşterilerin yüksek risk altında olup olmadığını veya potansiyel suça karışıp karışmadığını belirlemek için kullandığı World-Check adlı devasa bir tarama veritabanını çaldığını iddia etmişti. Sızan verilerin bir kopyası, veritabanında isimlerin, doğum tarihlerinin, pasaport ve sosyal güvenlik numaralarının ve banka hesap numaralarının yer aldığını gösterdi.
JayeLTee ayrıca Perşembe günü Roomster’daki oda arkadaşı bulma sitesinden yaklaşık 320.000 pasaport ve sürücü ehliyeti de dahil olmak üzere ifşa edilmiş KYC belgelerinin başka bir önbelleğini bulduğunu bildirdi.
JayeLTee bir blog yazısında Roomster’daki güvenlik açığından tam olarak kaç kişinin etkilendiğinin net olmadığını ve CEO’su John Shriber’ın TechCrunch’ın yorum talep eden e-postasına yanıt vermediğini söyledi. Roomster’a, doğrulanmamış listeler ve sahte yorumlar yayınlayarak milyonlarca kullanıcısını dolandırdığı iddiasıyla Federal Ticaret Komisyonu’nun şikayeti üzerine 2023 yılında 1,6 milyon dolar ödeme cezası verildi.
Kaynak: https://techcrunch.com/2025/01/03/online-gift-card-store-exposed-hundreds-of-thousands-of-peoples-identity-documents/