hadicanim
Aktif Üye
Berlin spor sağlayıcısı “Urban Sports Club”ta büyük bir veri ihlali yaşandı. Kişisel verileri içeren on binlerce kayıt, Google Cloud Storage'da herkesin erişebileceği bir dizinde saklanıyordu; ayrıca kimlik kartlarının kopyaları ve muhasebe verilerini içeren binlerce PDF dosyası da vardı. Fitness sağlayıcısı artık sızıntıyı kapattı.
Reklamcılık
“Urban Sports Club”, Almanya ve diğer beş Avrupa ülkesindeki üyelerine, klasik fitness stüdyolarından sağlıklı yaşam tekliflerine ve trambolinle atlama veya kaya tırmanışı gibi trend sporlara kadar, ortak şirketlerden spor teklifleri sunmaktadır. Üyelere avantajı: Birden fazla stüdyoya veya kulübe üye olmaları ve birçok partnerden spor faaliyetleri için indirim almaları gerekmiyor. Bunun karşılığında kişisel verilerini, bunlara uygun şekilde davranması gereken platform operatörüne emanet ederler.
900.000 dosya
Görünüşe göre gerçekleşmeyen şey de tam olarak bu, çünkü spor sağlayıcısındaki veri sızıntısı çok büyük boyutlarda: Etkilenen bir kişi, Haberler Security'deki editör ekibine anonim olarak rapor verdiğinde, bulut depolama hesabında toplam 900.000 dosya buldu. Ayrıca bir darknet forumunda, veri hazinesini satışa sunan yaklaşık iki yıllık bir teklif buldu. Rakamlar çok şey ifade ediyor: 90.000'den fazla PDF, 800.000'den fazla resim dosyası (bazıları normal web sitesi işlemlerinin parçasıydı) ve neredeyse 8.700 CSV dosyası Google Depolama hesabındaydı.
Yazı işleri ekibi veri sızıntısını anlayabildi. Örneklerimizde, diğer bilgilerin yanı sıra, yaklaşık 50.000 üyenin adları, fatura ve e-posta adresleri ile üyelik bilgilerinin yanı sıra “Urban Sports”a yapılan müşteri ziyaretlerine ilişkin “giriş verileri” olarak adlandırılan bilgileri içeren CSV dosyaları bulduk. Kulüp” ortakları. Bunlar üyeler için hareket profilleri oluşturmak ve spor tercihlerini keşfetmek için kullanılabilir. Yazı işleri ekibinin ayrıca spor uygulamasının ortaklarına da kredisi var.
Urban spor kulübünün veri hazinesi isimler, adresler, e-postalar, spor hareket profilleri ve hatta kimlik kartlarının kopyalarını içeriyordu.
(Resim: Haberler güvenlik / C.Kunz)
Verilerin internette ne kadar süreyle açık bir şekilde saklandığı belli değil. Kayıtların çoğu daha eski (örneğin 2017 ve 2018), ancak en eski dosya zaman damgası Ağustos 2019'a ait. Dosyalar en son Ekim 2022'de değiştirildi. Bu yılın Mart ayının ortasında, isminin gizli kalmasını isteyen ilgili kişi, Sözde “hacker paragrafı” nedeniyle yasal misilleme korkusuyla – daha sonra Urban Sports Club'dan sorumlu Berlin veri koruma görevlisiyle temasa geçti. Ancak görünüşe bakılırsa dava, 26 Mart'ta Haberler Güvenlik'ten spor sağlayıcısına ve denetim otoritesine yapılan bir talep sonrasında harekete geçmeye başladı: Veri sızıntısı 27 Mart'tan bu yana durduruldu. Urban Sports Club daha önce editör ekibine güvenlik açığıyla ilgili daha fazla ayrıntı için çeşitli sorular sormuş ve bunları almıştı.
Etkilenenlere bugünden itibaren bilgi verildi
Kendi açıklamasına göre sağlayıcı, bugün Urban Sports Club'ın 100.000'den fazla üyesini veri ihlali konusunda bilgilendirdi. Ancak 28 Mart öğle vaktine kadar Berlin veri koruma görevlisine sızıntıyla ilgili herhangi bir bilgi vermemişti. Bir ajans temsilcisi, 26 Mart'ta isimsiz bir ihbarın alındığını doğruladı ve bu durum, resen soruşturmaya yol açtı.
Etkilenenlerin artık Genel Veri Koruma Yönetmeliği (GDPR) uyarınca haklarını talep etmek için sağlayıcıyla iletişime geçmesi gerekiyor. GDPR'nin 17. Maddesine göre silme ve “unutulma” hakkı burada özellikle önemli görünmektedir; veri setlerinin çoğu, fitness platformunun iş operasyonları için yıllarca gerekli olmayabilir. Ayrıca dokuz yıl önce üyeliğini iptal eden üyelerin verilerini de bulabilirsiniz.
Sağlayıcının güvenlik açığıyla nasıl başa çıktığı da soruları gündeme getiriyor. Şirketin basın sözcüsü 26 Mart'ta Haberler Security'ye teknik ve güvenlik ekiplerinin yanı sıra harici bir sızma testi sağlayıcısının boşluğu aradığını söyledi – uzmanların tamamen açık bir Google Depolama hesabını gözden kaçırdıkları açık. Kentsel Spor Kulübü.
Fitness sağlayıcısının basın ofisi, editör ekibinin planlanan önlemler ve veri koruma ihlalinin süresi hakkında yaptığı anketi yanıtsız bıraktı. Perşembe öğleden sonra geç saatlerde şirketten, olayla ilgili üzüntüsünü ifade eden ve konuyu açıklığa kavuşturmak için özenle çalışacağına söz veren kısa bir açıklama aldık.
Pek çok araştırma araştırması yalnızca ihbarcılardan alınan isimsiz bilgiler sayesinde mümkündür.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Yanlış yapılandırılmış web sunucuları veya bulut depolama hizmetleri nedeniyle veri sızıntıları nadir değildir. Sadece birkaç hafta önce, günlük bakım uygulaması üreticisi Stayinformed'da bir güvenlik açığı keşfedilmedi.
(cku)
Haberin Sonu
Reklamcılık
“Urban Sports Club”, Almanya ve diğer beş Avrupa ülkesindeki üyelerine, klasik fitness stüdyolarından sağlıklı yaşam tekliflerine ve trambolinle atlama veya kaya tırmanışı gibi trend sporlara kadar, ortak şirketlerden spor teklifleri sunmaktadır. Üyelere avantajı: Birden fazla stüdyoya veya kulübe üye olmaları ve birçok partnerden spor faaliyetleri için indirim almaları gerekmiyor. Bunun karşılığında kişisel verilerini, bunlara uygun şekilde davranması gereken platform operatörüne emanet ederler.
900.000 dosya
Görünüşe göre gerçekleşmeyen şey de tam olarak bu, çünkü spor sağlayıcısındaki veri sızıntısı çok büyük boyutlarda: Etkilenen bir kişi, Haberler Security'deki editör ekibine anonim olarak rapor verdiğinde, bulut depolama hesabında toplam 900.000 dosya buldu. Ayrıca bir darknet forumunda, veri hazinesini satışa sunan yaklaşık iki yıllık bir teklif buldu. Rakamlar çok şey ifade ediyor: 90.000'den fazla PDF, 800.000'den fazla resim dosyası (bazıları normal web sitesi işlemlerinin parçasıydı) ve neredeyse 8.700 CSV dosyası Google Depolama hesabındaydı.
Yazı işleri ekibi veri sızıntısını anlayabildi. Örneklerimizde, diğer bilgilerin yanı sıra, yaklaşık 50.000 üyenin adları, fatura ve e-posta adresleri ile üyelik bilgilerinin yanı sıra “Urban Sports”a yapılan müşteri ziyaretlerine ilişkin “giriş verileri” olarak adlandırılan bilgileri içeren CSV dosyaları bulduk. Kulüp” ortakları. Bunlar üyeler için hareket profilleri oluşturmak ve spor tercihlerini keşfetmek için kullanılabilir. Yazı işleri ekibinin ayrıca spor uygulamasının ortaklarına da kredisi var.
Urban spor kulübünün veri hazinesi isimler, adresler, e-postalar, spor hareket profilleri ve hatta kimlik kartlarının kopyalarını içeriyordu.
(Resim: Haberler güvenlik / C.Kunz)
Verilerin internette ne kadar süreyle açık bir şekilde saklandığı belli değil. Kayıtların çoğu daha eski (örneğin 2017 ve 2018), ancak en eski dosya zaman damgası Ağustos 2019'a ait. Dosyalar en son Ekim 2022'de değiştirildi. Bu yılın Mart ayının ortasında, isminin gizli kalmasını isteyen ilgili kişi, Sözde “hacker paragrafı” nedeniyle yasal misilleme korkusuyla – daha sonra Urban Sports Club'dan sorumlu Berlin veri koruma görevlisiyle temasa geçti. Ancak görünüşe bakılırsa dava, 26 Mart'ta Haberler Güvenlik'ten spor sağlayıcısına ve denetim otoritesine yapılan bir talep sonrasında harekete geçmeye başladı: Veri sızıntısı 27 Mart'tan bu yana durduruldu. Urban Sports Club daha önce editör ekibine güvenlik açığıyla ilgili daha fazla ayrıntı için çeşitli sorular sormuş ve bunları almıştı.
Etkilenenlere bugünden itibaren bilgi verildi
Kendi açıklamasına göre sağlayıcı, bugün Urban Sports Club'ın 100.000'den fazla üyesini veri ihlali konusunda bilgilendirdi. Ancak 28 Mart öğle vaktine kadar Berlin veri koruma görevlisine sızıntıyla ilgili herhangi bir bilgi vermemişti. Bir ajans temsilcisi, 26 Mart'ta isimsiz bir ihbarın alındığını doğruladı ve bu durum, resen soruşturmaya yol açtı.
Etkilenenlerin artık Genel Veri Koruma Yönetmeliği (GDPR) uyarınca haklarını talep etmek için sağlayıcıyla iletişime geçmesi gerekiyor. GDPR'nin 17. Maddesine göre silme ve “unutulma” hakkı burada özellikle önemli görünmektedir; veri setlerinin çoğu, fitness platformunun iş operasyonları için yıllarca gerekli olmayabilir. Ayrıca dokuz yıl önce üyeliğini iptal eden üyelerin verilerini de bulabilirsiniz.
Sağlayıcının güvenlik açığıyla nasıl başa çıktığı da soruları gündeme getiriyor. Şirketin basın sözcüsü 26 Mart'ta Haberler Security'ye teknik ve güvenlik ekiplerinin yanı sıra harici bir sızma testi sağlayıcısının boşluğu aradığını söyledi – uzmanların tamamen açık bir Google Depolama hesabını gözden kaçırdıkları açık. Kentsel Spor Kulübü.
Fitness sağlayıcısının basın ofisi, editör ekibinin planlanan önlemler ve veri koruma ihlalinin süresi hakkında yaptığı anketi yanıtsız bıraktı. Perşembe öğleden sonra geç saatlerde şirketten, olayla ilgili üzüntüsünü ifade eden ve konuyu açıklığa kavuşturmak için özenle çalışacağına söz veren kısa bir açıklama aldık.
Pek çok araştırma araştırması yalnızca ihbarcılardan alınan isimsiz bilgiler sayesinde mümkündür.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Yanlış yapılandırılmış web sunucuları veya bulut depolama hizmetleri nedeniyle veri sızıntıları nadir değildir. Sadece birkaç hafta önce, günlük bakım uygulaması üreticisi Stayinformed'da bir güvenlik açığı keşfedilmedi.
(cku)
Haberin Sonu