hadicanim
Aktif Üye
Popüler kreş uygulamasından veri sızıntısı
Almanca konuşulan ülkelerdeki birçok kreş, okul sonrası bakım merkezi, okul ve bakım tesisi, ebeveynler veya akrabalarla dijital olarak iletişim kurmak için “Stay Informed” uygulamasını (eski adıyla Kita-Info-App ve School-Info-App) kullanıyor. Örneğin tesisler uygulama aracılığıyla bilgi ve randevu sağlıyor. Ebeveynler çocuklarının hasta olduğunu bildirebilir veya çocuklarının yaklaşan okul gezisine katılabileceğini doğrulayabilir. Freiburger Stay Informed GmbH sistemi aynı zamanda bir sohbet fonksiyonu da sunuyor.
Reklamcılık
“Bilgili Kalın” uygulaması kreşler, kreşler, okullar vb. randevu yönetimi, bir mesajlaşma aracı ve çok daha fazlasını sunar.
(Resim: Google Play / Üretici)
Şirket, müşterileri için veri koruma ve güvenlik konularına öncelik vermektedir. Diğer şeylerin yanı sıra, harici “düzenli kalem testleri” gerçekleştirilmektedir. Ve: “BT güvenlik uzmanlarından ve veri koruma görevlilerinden oluşan bir ekip, size güvenli ve aynı zamanda basit bir çözümü garanti etmek için yazılımımızın daha da geliştirilmesini desteklemektedir.”
Ancak isimsiz bir ihbarcı, doğrulayabildiğimiz çok büyük bir veri sızıntısına dikkat çekti: Şirket, serbestçe erişilebilen bir web sunucusunda, en azından bir kısmı Stay Informed uygulamasının kullanıcılarından gelen büyük miktarda dosya depoladı.
Sunucu herkese açık ve korumasız
Sunucuya düz metin protokolü HTTP üzerinden erişilebiliyordu. Doğrudan içeriğinin bir “dizin listesini” sağladı. Dizin Listeleme, geçmişi İnternet'in ilk günlerine kadar uzanan ve hala Apache web sunucusunda yerleşik olan ve defalarca bunun gibi raporlara neden olan bir işlevdir. Çoğu durumda devre dışı bırakılmalıdır, çünkü bir sunucuda halka açık olmayan dosyalar varsa, dizin listesi bunları acımasızca ortaya çıkaracaktır. Bu özel durumda asıl sorun, dosyalara erişim korumasının olmamasıdır.
Ayrıca Stay Informed, iletişimin aslında şifreli HTTPS iletişimi için tasarlanan 443 numaralı bağlantı noktası üzerinden çalışmasına rağmen aktarım şifrelemesini kullanmadı. Korunmayan veriler arasında, her biri çok sayıda kişinin, özellikle de reşit olmayanların kişisel bilgilerini içeren yaklaşık 1.500 CSV dosyası vardı. İsimler, doğum tarihleri ve adresler, menşe ülkeler, aşılar, mezhepler, yasal vasiler, acil durumda iletişime geçilecek kişiler, sınıf öğretmenleri ve çok daha fazlasıyla ilgili bilgiler de bulundu.
Sunucu ayrıca, görünüşe göre sohbet işlevini kullanmak için kullanılan 16.000'den fazla avatar görüntüsü de teslim etti. Bunlar arasında çocukların ve yetişkinlerin fotoğrafları da vardı. Kurumların ebeveynler için yüklediği PDF dosyaları ve fotoğraflar ile ebeveynlerin dijital ancak şifreli imzaları da veri sızıntısından etkileniyor.
800.000'den fazla kullanıcı
Verilere herkesin erişebildiği bir web sunucusu aracılığıyla erişilebiliyordu.
Haberdar Olun uygulaması yaygın olarak kullanılmaktadır. Sağlayıcının web sitesinde, 11.000'den fazla Alman kreşi, okul sonrası bakım merkezi ve okulun sisteme bağlı olduğu bildiriliyor. Bu şu anda 842.280 kullanıcının olduğu anlamına geliyor.
Stay Informed GmbH'ye 18 Mart Pazartesi günü veri sızıntısı hakkında bilgi verdik. Genel müdür Jürgen Thiel hemen tepki gösterdi ve sorunun çözülmesini sağladı.
Ona göre, web sunucusunun yanlış yapılandırılması ve dolayısıyla halka açık erişim olasılığı, “bildiğimiz kadarıyla en erken 20 Ekim 2021'den bu yana ve en geç 18 Ağustos 2023'ten beri” mevcuttu. “Avatarlar, PDF ekleri ve imzalarla ilgili tüm müşterilerin” etkilendiğini açıkladı. Açığa çıkan profil resimlerinden “yalnızca messenger kullanıcıları” etkilenmektedir. Bazıları çok kapsamlı olan CSV dosyaları müşterilerin yüzde 15'inden gelen verileri içeriyordu. Ancak Thiel, müşteriler derken insanları değil, sisteme bağlı kurumları ve sağlayıcıları kastediyor.
Sorumluluğu başkaları taşıyor
Şirket, bu müşterilerle bir sipariş işleme sözleşmesi imzalıyor ve buna göre hizmetini “Hizmet Olarak Yazılım” olarak sağlıyor. GDPR anlamında sorumlu olan 11.000'den fazla kurum şu anda her birinin kendi bünyesinde ayrı bir veri koruma olayı yaşıyor ve çoğu durumda bu kurumları sorumlu eyalet veri koruma kurumuna ve hatta muhtemelen etkilenen ebeveynlere raporlamak zorundalar.
Uygulama Almanca konuşulan ülkelerde çok yaygındır; sayılar, üreticinin müşterisi olduğunu söylediği bölgelerdeki tesisleri temsil etmektedir
(Resim: üreticinin web sitesi)
Kendi bilgilerine göre Stay Informed GmbH, olay hakkında sorumlu Baden-Württemberg eyaleti veri koruma yetkilisini bilgilendirmek istiyor. 20 Mart öğleden sonra olayla ilgili tüm tesislere bilgi verildi. Genel Müdür Thiel bize gönderilen bilgi e-postasını gönderdi. Buna göre web sunucusunun log dosyaları analiz edildi: “Yukarıda açıklanan hatadan yararlanan ve halen görebildiğimiz en erken erişim 5 Mart 2024'te gerçekleşti.”
Etkilenen tesisler yetkililerle iletişime geçmelidir
Stay Informed kurumlara şu tavsiyede bulunuyor: “Bizim açımızdan sorumlu veri koruma denetim otoritenizi bilgilendirmeniz gerekmektedir. Sorumlu kurum olarak risk değerlendirmesini kendiniz yürütmeli ve buna dayanarak veri koruma denetim otoritenizi bilgilendirip bilgilendirmeyeceğinize karar vermelisiniz. Bunun için “Ancak tesislerinizin dışa aktarılan dosyaları yükleyip yüklemediği. Bu bilgiyi mümkün olan en kısa sürede size sunacağız.”
Bu nedenle Freiburg şirketi, olayın sorumlu makama ve/veya doğrudan etkilenenlere rapor edilip edilmeyeceği kararını sağlayıcıların kendilerine bırakıyor. Bazı sağlayıcılar için çalışan bir danışmanın bize verdiği ilk geri bildirim şunu gösteriyor: Bunun gibi kararlar verilebilir, bazı tesisler sağlanan bilgilere göre bunalmış olabilir. Önümüzdeki birkaç gün içinde eyalet veri koruma yetkililerinin kreşlerden, okullardan ve diğer sosyal kurumlardan binlerce rapor alması muhtemeldir.
Bu arada Stay Informed, infomail'de şu güvenceyi veriyor: “BT güvenlik görevlilerimiz tüm altyapımızı kontrol etti. Bu kontrolde bu türden başka bir açık ortaya çıkmadı. Alt yapımızı haftalık olarak otomatik olarak taramaları için onları görevlendirdik. Böyle bir durumun söz konusu olduğunu varsayıyoruz.” Daha sonra bir hata fark edilecek ve derhal düzeltilecektir.”
Pek çok araştırmacı araştırma yalnızca muhbirlerden alınan isimsiz bilgiler sayesinde mümkün olabiliyor.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
(rei)
Haberin Sonu