Təhlükəsizlik araşdırmaçısı Sammy Azdoufal tərəfindən aparılan araşdırma, "Cannabis Club Systems" (CCS) və ya digər adı ilə Nefos Solutions şirkətinin istifadə etdiyi sistemlərdə ciddi təhlükəsizlik boşluqları olduğunu ortaya çıxarıb. İspaniyadakı müxtəlif klubların üzvlərinə aid təxminən 985 min pasport, sürücülük vəsiqəsi və digər şəxsiyyət vəsiqələri heç bir parol və ya giriş nəzarəti olmadan ictimai internetdə əlçatan olub. Məlumatlar arasında istifadəçilərin telefon nömrələri, ünvanları və hətta şəxsi istehlak vərdişləri də yer alıb.
Bu təhlükəsizlik boşluğu necə yaranıb?
Problemin kökündə şirkətin "PuffPal" adlı tətbiqi və onunla əlaqəli API-lərin zəif qorunması dayanır. Azdoufal tətbiqi analiz edərkən, "Stripe" ödəniş platforması üçün gizli açarların açıq mətn şəklində saxlandığını və istifadəçi profillərinə sadəcə rəqəmləri dəyişməklə daxil olmağın mümkün olduğunu müəyyən edib. Sənədlər ictimai URL-lər vasitəsilə hər kəsin görə biləcəyi şəkildə saxlanılıb və sistem hər gün təxminən 5 min yeni sənədi bu təhlükəli mühitə yükləyib.
Şirkət hansı addımları atır?
İfşa olunduqdan sonra Nefos Solutions-un həmtəsisçisi Andreas Nilsen, İrlandiyanın Məlumatların Mühafizəsi İdarəsi (DPC) ilə əlaqə saxladıqlarını və "PuffPal" sistemini müvəqqəti olaraq dayandırdıqlarını bildirib. Şirkət rəhbərliyi, proqram təminatının hazırlanmasında iştirak edən 9Series autsorsinq şirkəti ilə əməkdaşlığı dayandırdıqlarını və gələcəkdə müstəqil təhlükəsizlik yoxlamaları aparacaqlarını vəd edib. Buna baxmayaraq, şirkətin Aİ qanunvericiliyinə əsasən 72 saat ərzində məlumat sızmasını bildirməməsi səbəbindən ciddi cərimələrlə üzləşəcəyi gözlənilir.
