İngiltere'nin en büyük gazeteleri ve çevrimiçi medya kuruluşlarından biri olan 'Telgraf', veritabanlarından birini düzgün bir şekilde güvence altına alamadıktan sonra 10 TB veriyi sızdırdı.
Maruz kalan bilgiler, iç günlükleri, tam abone adlarını, e-posta adreslerini, cihaz bilgilerini, URL isteklerini, IP adreslerini, kimlik doğrulama belirteçlerini ve benzersiz okuyucu tanımlayıcılarını içerir.
Bob Diachenko, 14 Eylül 2021'de korunmasız veri kümesini keşfeden Araştırmacı, en az 1.200 şifrelenmemiş kişinin gözden geçirme sırasında şifre olmadan erişilebileceğini doğruladı.
Özellikle, bu davaların çoğu, Apple Haberler abonelerinin, ayrıca düz metin formundaki şifreleri de dahil olmak üzere tescilli bilgilerle ilgilidir.
Gazete ile temasa geçildi ve derhal maruz kalma konusunda uyarıldı, ancak sonuçta veritabanını yanıtlamak ve güvence altına almak için iki gün sürdü.
Örnek 1 Eylül 2021'de özel arama motorlarında endekslendi, bu nedenle maruz kalma süresi en az üç hafta. Bu, saldırganların ve otomatik tarayıcıların maruz kalan veritabanını bulmaları ve içerdiği verileri eksfiltratı için çok zamandır.
Bu veri sızıntısının bir sonucu olarak maruz kalabilecek kişiler için, kullandığınız ana risk e-posta yoluyla dolandırılmakta veya kaydırılmaktır.
URL taleplerinin sızıntısı, birisi kullanıcıların haber platformunda kullanıcıların tarama geçmişini inşa etmesi için kullanabileceği gibi bir gizlilik riskine neden olabilir.
Telgrafın sonuçlarına gelince, çalınan erişim belirteçleri, abonelik olmayanlar tarafından PayWall'ın arkasına kilitlenen içeriğe erişmek için kullanılabilir, ancak bunu bir sıfırlama ile çözebilirler.
Yukarıdakilere cevaben, telgraf, diachenko'nun bulguları ile ilgili aşağıdaki ifadeyi yayınladı:
16 Eylül'de bu keşifin farkındaydık ve verileri güvence altına almak için hemen harekete geçti. Bir soruşturma, yalnızca az sayıda kayıtların maruz kaldığını göstermiştir - kullanıcılarımızın% 0.1'inden az ve bunlara tavsiyede bulunmaları için tüm kullanıcılarla iletişim kurduk. Soruşturma ayrıca, verilerin maruz kalmasıyla, araştırmacı tarafından yayınlanan keşif dışında ihlal edilmediği sonucuna varmıştır. Güvenlik açıklarını ve maruziyetlerini sorumlu bir şekilde ifşa eden ve varlıklarımızı korumak için devam eden çalışmalarımızda hayati olan bağımsız araştırmacıların çalışmaları için minnettarız.
Bu ifadeye göre, etkilenen bireylerin sayısı 600'dür, bu da Daichenko'nun maruz kalanlarından daha az olandan daha azdır. Telgraf ayrıca, Diachenko'ya duyarlı veri kümesine erişmek için ilk ve son kişi olduğundan, hiçbirinin hiçbirinin herhangi bir sömürü riskini çalıştırmadığını da belirtir.
DİKKAT BAŞVURUSU, Telgrafa bir abonesiyseniz, şifrenizi sıfırlamanızı ve kendinizi, hesabınızı güvence altına almak için acil eylemleri almanızı isteyen veya istediğiniz istenmeyen e-postalara karşı uyanık olmasını öneririz.
Massive Twitch Hack: Kaynak kodu ve ödeme raporları sızdırılmış
En büyük mobil SMS yönlendirme firması beş yıl süren plaj açıklar
Yanlış yapılandırılmış Apache hava akımı sunucuları Binlerce kimlik bilgilerini sızdırmaz
Bu 24 $ Backend kurs paketi ile sunucu tarafında bir yürüyüş yapın
EventBuilder Misconfiguration, Microsoft Olay Tescil Ettiren verilerini ortaya çıkarır
Kaynak: Bleeping Computer