Birleşmiş Milletler (BM), popüler iş takip uygulaması Trello’yu, ekip içi iletişim uygulaması Jira’yı ve online ofis uygulaması Google Docs’ı yapılandırırken yanlışlıkla şifreler, şirket içi dökümanlar ve web siteleri hakkında teknik bilgileri yayınladı.
Hata, gizli kalması gereken malzemeleri uygun bir link ile erişim hakkı olan kullanıcılar yerine herkesin erişimine açık hale getirdi. Etkilenen veriler arasında Birleşmiş Milletler’e ait bir dosya sunucusu için kimlik bilgileri, BM’ye ait bir dil okulundaki video konferans sistemi ve ABD’nin İnsani İşler Koordinasyon Ofisi’nin web geliştirme ortamı bulunuyor.
Kazara gerçekleşen sızıntıyı keşfeden Güvenlik Araştırmacısı Kushagra Pathak, bir aydan fazla bir süre önce bulduğu sızıntı hakkında BM’yi bilgilendirdi. Açığa çıkan malzemenin çoğu sözkonusu bilgilendirmeden sonra geriye çekilmiş görünüyor.
Pathak bir çevrimiçi sohbette yaptığı açıklamada Google’da arama yaparken hassas bilgileri bulduğunu söyledi. Aramalar, bazılarının kamusal Google Dokümanlar ve Jira sayfalarına bağlantılar içerdiği genel Trello sayfalarını ortaya koydu.
Trello projeleri “kartlar” olarak adlandırılan görev listelerini içeren “panolar” aracılığıyla organize ediliyor. Panolar kamuya açık veya belirli kullanıcılara özel olabiliyor. Pathak, BM tarafından yönetilen kamuya açık bir Trello panosunu bulduktan sonra, bazı hileler kullanarak kamuya açık başka BM panolarını buldu. Bu hileler “bir Trello panosunun kullanıcılarının diğer bazı panolarda da aktif olup olmadıklarını kontrol etmek gibi” eylemler içeriyordu.
Bir Trello panosu, kendisi daha da hassas bilgiler içeren Jira’da bulunan ‘sorun iz sürücü’ye yönlendiren linkler içeriyordu. Pathak ayrıca, Google Dokümanlar ve Google Drive’da bulunan ve web adreslerini bilen herkes tarafından erişilebilecek şekilde yapılandırılmış belgelere bağlantılar buldu. Bu belgelerin bazıları şifreler de içeriyordu.
İLGİLİ HABER>> Hem veri çaldırdı hem de milyon dolar ceza yedi
Pathak, kamuya açık Trello panolarında özel bilgi bulma konusunda bir nevi uzman haline geldi. Bu yılın başlarında, korumasız 50 panoda İngiltere ve Kanada hükümetlerine ait parolalar ve güvenlik planları da dahil olmak üzere bir dizi özel veri keşfetti. Bundan önce, “iyi bilinen bir araç paylaşım şirketi” de dahil olmak üzere onlarca başka kuruluşa ait olan Trello’ya ilişkin çok sayıda hassas veriyi ortaya çıkardı.
Pathak’ın araştırması, şifreleri ve çevrimiçi çalışmak ve yayınlamak için ihtiyaç duyulan sayısız diğer gizli bilgileri idare etmeye çalışırken kuruluşların ne kadar sıklıkla hata yapabildiklerini ortaya koyuyor.
Google Drive ve Google Dokümanlar’daki bilgilerin yanı sıra Trello panoları da varsayılan olarak ‘özel’ bilgi konumunda. Kullanıcı bu bilgileri internet üzerinden görüntülemek üzere herkese açık hale getirmek için ayarları manuel olarak değiştirmek zorunda.
Pathak, daha önce Trello’nun hassas verilerin açığa çıkmasını engellemek için yeni önlemler aldığını belirtmişti. O dönemde, Trello’nun CEO’su şunları söylemişti: “Kamuya açık panoların bilerek yaratıldığından emin olmak için çalışıyoruz ve bir panoyu kamuya açık hale getirmeden önce bir kullanıcının niyetini teyit etmek için önlemler aldık. Ek olarak, görünürlük ayarları her kartın üstünde kalıcı olarak görüntüleniyor. ”
Pathak, sırf böylesi daha pratik olduğu için insanların kuruluşlarının hassas verilerini kamuya açtığını düşünüyor. Bu şekilde kişileri panoya eklemeden sadece panonun URL’sini paylaşarak panodaki bilgileri paylaşabiliyorlar. Pathak’a göre kişileri panoya eklemek bu insanlar için zor bir iş gibi görülebilir fakat aslında çok kolay.
Siber Bülten abone listesine kaydolmak için formu doldurunuz