Japonya merkezli bir teknoloji girişimi olan Reqrea'nın geliştirdiği Tabiq adlı otel check-in sistemi, dünya genelinden bir milyondan fazla müşterinin kişisel verilerini, kimlik bilgilerini ve hatta selfie doğrulama fotoğraflarını internete açık bıraktı. Bu ciddi güvenlik açığı, bağımsız güvenlik araştırmacısı Anurag Sen'in durumu TechCrunch'a bildirmesiyle ortaya çıktı ve şirketin müdahalesiyle veriler çevrimdışı hale getirildi.
GİZLİLİK KÂBUSU: HERKES ERİŞEBİLİRDİ
Sen'in tespitlerine göre, Tabiq sisteminin kullandığı Amazon bulut depolama alanlarından biri, yanlış bir yapılandırma sonucu genel erişime açık bırakılmıştı. Sadece "tabiq" olarak adlandırılan bu depolama alanının adını bilen herhangi bir kişi, şifreye gerek duymadan web tarayıcısı üzerinden bu hassas belgelere ulaşabiliyordu. 2020'nin başlarından bu yana kadar uzanan belgeler arasında Türkiye dahil dünyanın dört bir yanından otel misafirlerinin kimlikleri yer alıyordu. Bu durum, siber saldırıların karmaşıklığı yerine, temel siber güvenlik uygulamalarındaki ihmallerin ne denli büyük sonuçlar doğurabileceğini bir kez daha gözler önüne serdi.
HATALAR zinciri ve Gelecek Kaygıları
Reqrea direktörü Masataka Hashimoto, durumu doğrulayarak "dış hukuki danışmanlık ve diğer danışmanların desteğiyle maruziyetin tam kapsamını belirlemek için kapsamlı bir inceleme başlattıklarını" belirtti. Şirket, depolama alanının nasıl kamuya açık hale geldiği konusunda bir bilgisi olmadığını ifade ederken, Amazon'un varsayılan olarak bulut depolama alanlarını gizli tuttuğu ve bu tür bir ihmalin artık daha zordur olduğu biliniyor. Hashimato, soruşturma tamamlandıktan sonra etkilenen kişileri bilgilendireceklerini söyledi. Ancak, verilerin güvence altına alınmadan önce başka kimler tarafından erişildiği ve bu durumun yol açabileceği kimlik hırsızlığı veya benzeri kötüye kullanımlar gibi riskler hala belirsizliğini koruyor. Bu olay, Duc App ve Hertz gibi geçmişte yaşanan benzer veri sızıntılarının bir devamı niteliğinde ve giderek artan kimlik doğrulama gereksinimlerinin, hassas verilerin güvenliği konusunda daha fazla endişe yarattığını gösteriyor.
