Duc Para Transfer Uygulamasının Müşteri Verileri Açık İnternette Görünür Hale Geldi
Duc'un Amazon sunucusundaki güvenlik açığı, sürücü belgeleri ve pasaport gibi hassas müşteri verilerinin şifresiz olarak erişilebilir olmasına yol açtı.
Giriş
Duc, son yıllarda popüler bir para transferi uygulaması olarak genç kullanıcıların tercihi oldu. Ancak TechCrunch tarafından bildirilen yeni bir güvenlik sorunu, uygulamanın Amazon Web Services (AWS) üzerinde barındırdığı bir sunucunun hatalı yapılandırılması nedeniyle binlerce sürücü belgesi ve pasaportun internette açıkça erişilebilir hâle gelmesine neden oldu.
Olayın Detayları
Şirketin veri depolama katmanında, kimlik doğrulama mekanizması devre dışı bırakılmış bir S3 bucket bulunuyordu. Bu durum, herhangi bir internet kullanıcısının URL üzerinden doğrudan belge dosyalarına ulaşabilmesini sağladı. Belgeler arasında sürücü lisansları, pasaport taramaları ve diğer kişisel bilgiler yer alıyordu. Duc, sorunun farkına varır varmaz ilgili sunucuyu kapattı ve kullanıcıları bilgilendirmek için bir e‑posta gönderdi, ancak veri sızıntısının kapsamı hâlâ tam olarak belirlenemedi.
Endüstri ve Güvenlik Bağlamı
FinTech sektörü, yüksek hacimli kişisel veri işlediği için siber güvenliğe özel bir önem vermektedir. Amazon’un bulut hizmetleri, ölçeklenebilirlik ve maliyet avantajı sunsa da, yanlış yapılandırmalar veri ihlallerine sıkça yol açıyor. Uzmanlar, şirketlerin erişim kontrollerini düzenli olarak denetlemesi ve “least privilege” (en az yetki) prensibini uygulamasını öneriyor. Bu tür ihlaller, hem kullanıcı güvenini sarsar hem de regülasyonlar (KVKK, GDPR) kapsamında ağır para cezalarına neden olabilir.
