Popüler para transferi uygulaması Duc App, kullanıcılarının Duc App veri sızıntısı skandalıyla gündeme geldi. Uygulama, binlerce kişinin ehliyet, pasaport ve diğer kişisel bilgilerini internete açık bir sunucuda korumasız bıraktı. Kanada merkezli Duales şirketine ait bu uygulama, kullanıcı güvenliğini ciddi şekilde tehlikeye attı. Siber güvenlik uzmanlarının uyarısıyla durum ortaya çıktı. Bu olay, dijital dünyada kişisel veri güvenliğinin ne denli kritik olduğunu bir kez daha gösterdi.
Duc App Veri Sızıntısı: Hassas Bilgiler Açıkta Kaldı
Güvenlik araştırmacısı Anurag Sen, bu ciddi açığı fark eden ilk kişi oldu. Sen, bir internet tarayıcısı ile herkesin verilere erişebildiğini belirtti. Şirket, verileri Amazon tarafından barındırılan bir depolama sunucusunda tutuyordu. Bu sunucuya herhangi bir şifre veya kimlik doğrulama olmadan ulaşılabiliyordu. Üstelik veriler şifrelenmemiş durumdaydı. Bu durum, linke sahip herkesin tüm detayları görüntülemesini sağladı.
Sen’in tespitlerine göre, sunucuda 360.000’den fazla dosya bulunuyordu. Bu dosyalar arasında devlet tarafından verilen kimlik belgeleri yer almaktaydı. Ayrıca “müşterini tanı” (KYC) kontrolleri için toplanan diğer bilgiler de mevcuttu. Kullanıcılar tarafından yüklenen selfieler bile bu veriler arasındaydı. Her klasörde on binlerce kullanıcının ehliyet ve pasaport kayıtları vardı. Bu durum, sızıntının boyutunu gözler önüne serdi.
Sızan veriler Eylül 2020’ye kadar uzanıyordu. Ayrıca her gün yeni veriler eklenmeye devam ediyordu. Belgeler sadece kimlik bilgilerini içermiyordu. Müşteri adları, ev adresleri ve işlem detaylarını listeleyen tablolar da vardı. Bu bilgiler, para transferlerinin tarihi, saati ve miktarı gibi detayları da kapsıyordu. Duc App, kullanıcılara yurt dışına para gönderme imkanı sunuyordu. Özellikle Küba gibi ülkelere transferler yapılıyordu. Google Play’de 100.000’den fazla indirmeye sahip bir uygulamaydı. Bu durum, etkilenen kullanıcı sayısının yüksek olabileceğini düşündürüyor.
Uygulamaların topladığı kişisel bilgilerin korunması hayati önem taşıyor. Özellikle finansal hizmetler sunan platformların bu konuda çok daha titiz olması gerekiyor. Kişisel veri güvenliği konusunda daha fazla bilgi edinmek için veri gizliliği rehberlerine başvurabilirsiniz.
Şirketin Yanıtı ve Alınan Önlemler
Duales CEO’su Henry Martinez González, konuya ilişkin açıklama yaptı. Verilerin bir “hazırlık sitesinde” saklandığını belirtti. Ancak bu kişisel bilgilerin neden herkese açık olduğunu açıklayamadı. Şirket, güvenlik açığını fark ettikten sonra harekete geçti. Verilerin bulunduğu sunucuya erişimi kapattı. Fakat sunucunun içeriğinin listesi hala görülebiliyordu. Martinez González, kaç kişinin verilere eriştiğini belirleyip belirleyemeyecekleri konusunda bilgi vermedi. Şirket, bu konuda herhangi bir teknik kayda sahip olup olmadığını da açıklamadı.
Duales CEO’su, “Tüm korumalar yerinde,” ifadelerini kullandı. “İlgili tarafları bilgilendiriyoruz” dedi. Ancak bu açıklama, kamuoyunun endişelerini gidermeye yetmedi. Uygulamanın web sitesi kısa bir süreliğine erişim dışı kaldı. “Bad gateway” hatası verdi. Bu durum, şirketin açığı giderme sürecinde teknik aksaklıklar yaşadığını gösteriyor. Amazon, son yıllarda bu tür veri ifşalarını engellemek için güvenlik kontrolleri ekledi. Buna rağmen şirketlerin yanlış yapılandırmalar nedeniyle veri sızdırması devam ediyor. Bu tür olaylar, bulut depolamanın doğru şekilde yapılandırılmasının önemini vurguluyor. Güvenli internet kullanımı için internetteki güvenlik ipuçlarını takip etmek faydalıdır.
Veri Güvenliği İhlallerinin Artan Tehlikesi
Kanada’nın gizlilik düzenleyici kurumu duruma el koydu. Duales’ten daha fazla bilgi talep etti. Kurum sözcüsü, “Kanada Gizlilik Komiserliği Ofisi, şirketten daha fazla bilgi almak için iletişime geçti” açıklamasını yaptı. Bu tür olaylar, kişisel verilerin korunması konusundaki yasal düzenlemelerin önemini artırıyor. Gelişen dijital dünyada, uygulamaların kullanıcılarından kimlik belgelerini istemesi yaygınlaştı. Ancak bu verilerin yeterince korunmaması büyük riskler yaratıyor. Geçtiğimiz yıl benzer bir olay yaşandı. Popüler uygulama TeaOnHer, binlerce kullanıcısının pasaport ve ehliyet bilgilerini ifşa etti. Discord da yaş doğrulama için yüklenen 70.000’e yakın devlet belgesinin sızdığını doğrulamıştı. Bu örnekler, uygulamaların veri güvenliği konusunda daha fazla sorumluluk alması gerektiğini gösteriyor. Kullanıcıların da kişisel bilgilerini paylaşırken dikkatli olmaları büyük önem taşıyor.
Dijital platformlar, kullanıcıların güvenini kazanmak zorunda. Bu tür veri sızıntıları, hem kullanıcıların mağduriyetine yol açıyor hem de şirketlerin itibarını zedeliyor. Gelecekte benzer olayların yaşanmaması için sıkı güvenlik protokolleri şart.
Daha fazla Teknoloji haberi için sitemizi ziyaret edebilirsiniz.
