Verizon Wireless'ta Veri İhlali Şüphesi
ABD merkezli telekomünikasyon şirketi Verizon Wireless, 2 milyon müşteri sözleşmesini sızdırmış olabilir.
Siber güvenlik araştırmacısı Daley Bee, ABD merkezli telekomünikasyon şirketi Verizon Wireless'ta bir veri ihlaline neden olabilecek güvenlik açığı buldu.
Araştırmacı, şirket çalışanları tarafından müşteri bilgilerini görüntülemek için kullanılan bir alt etki alanını analiz ederken karşılaştığı bir başka URL'de PDF formatında belgelerin olduğunu keşfetti.
Bu belgelere erişmek için kimlik doğrulaması gerektiğini gören araştırmacı, URL'deki GET parametresini zorlayarak bir telefon ve sözleşme numarası ile belgeye erişmeyi başardı.
Bee, daha sonra bu parametrelerden birini değiştirmenin farklı bir sözleşmeyi karşısına getirdiğini tespit etti ve bu sözleşmelerde müşterinin tam ismi, adresi, telefon numarası, satın aldığı cihazın model ve seri numarası, imzası gibi bilgilerinin olduğunu gördü.
Araştırmacı, parametreler için uygulanabilecek kombinasyonların toplam 2 milyon adet olduğunu ve her bir kombinasyonun bir müşteri sözleşmesine denk geldiğini söyledi.
Daley Bee, SecurityWeek'e keşfettiği açığı Haziran ayının ortasında şirkete bildirdiğini, şirketin bir hata ödül programı olmadığı için ödül almadığını ancak yetkililerin açığın 2 milyon müşteri sözleşmesine ulaşılmasına neden olabileceğini doğruladıklarını söyledi.
SecurityWeek, olay hakkında Verizon Wireless'a bir soru sorduğunda şirket geri dönüş yaptı ve "Haziran ayında bu konunun farkında olduk. Sorun tarafımıza sunulduğunda, siber güvenlik ekibimiz, çözmek için uygulama ekibimizle hızlı bir şekilde çalıştı. Herhangi bir müşteri bilgisine, onu bildiren güvenlik araştırmacısı dışında herhangi biri tarafından erişildiğine inanmak için hiçbir nedenimiz yok" dedi.
Yorumlar