Veb brauzerimə bir neçə hərf və rəqəm daxil etdikdə, mən yad adamların şəxsiyyət sənədlərinə baxıb təəccüblənirəm. Almaniyadan olan gənc qadının pasportu. Eynəkli görünən İspaniyadan kişinin pasportu. Başqa bir kişinin sürücülük vəsiqəsinin ön və arxa tərəfi, üzündə qəribə ifadə.

Hamısı açıq URL-lərdə, şifrə və giriş məhdudiyyəti olmadan yerləşdirilmişdi. Mən sizə link göndərsəydim, istənilən şəxsin pasportunu görə bilərdiniz.

"Bu məsələ ilə mümkün qədər tez məşğul olmalıyıq, çünki insanlar bu məlumatları tapıb sata bilər. Bu, zərər verəcək," Sammy Azdoufal may ayında deyib.

Azdoufal təhlükəsizlik tədqiqatçısıdır və "Kloud Kod"dan istifadə edərək hər DJI Romo robot-tozsoranın və bir milyon uşaq monitoru və təhlükəsizlik kameralarının asanlıqla zəif vəziyyətdə olduğunu aşkarlayıb. Bu dəfə isə internetdə 985 mindən çox fotoşəkilli şəxsiyyət sənədinin açıq olduğunu müəyyən edib.

Azdoufal deyir ki, İspaniyada kannabis klubuna gedənlərin şəxsiyyət sənədləri burada ola bilər — bəlkə telefon nömrələri, ünvanları, sevimli kannabis növləri və aylıq istehlak göstəriciləri də daxil. Məlumat bazasında məşhurlar, ABŞ-dan 30 min nəfər də var. "Orada məşhurlar da var," Azdoufal bildirib. "Çünki bəziləri hamının onların kannabis istifadə etdiyini bilməsini istəmir."

Azdoufalın avtomatlaşdırılmış aləti ilə müəyyən edilmiş istifadəçi bazasının ümumi xülasəsi və bəzi klubların adları belədir:

Şəxsiyyət sənədlərinin qorunmaması klubların deyil, İrlandiyanın Cannabis Club Systems (CCS), əvvəlki adı ilə Nefos Solutions şirkətinin proqram təminatındakı zəifliklərlə bağlıdır. Bu proqram satış, mühasibat və giriş üçün istifadə olunur, o cümlədən qəbul işçilərinin şəxsiyyət vəsiqəsi və selfi şəkillərini Nefos-un buluduna yüklədiyi doğrulama sistemi də var.

Əvvəllər klub daxil olmaq istəyənlər şəxsiyyət vəsiqəsini hər dəfə təqdim etməli idilər. İndi doğrulama sistemi qəbul işçisinin öncədən yüklənmiş sənədləri açıb üz ilə uyğunluğunu yoxlamasına imkan verir. Bundan əlavə, "PuffPal" adlı könüllü tətbiq QR kodla sürətli giriş təklif edir.

Azdoufal tətbiqi dekompilyasiya edərkən, hesabatında yazdığı kimi, Nefos-un təhlükəsizliyin səviyyəsinin çox zəif olduğunu aşkar edib. Tətbiqdə "Stripe" ödəniş platformasına aid gizli açar sadə mətndə qeyd olunub. Bir rəqəmi dəyişməklə hər hansı üzvün profilinə baxa bilib. Profilə telefon nömrəsi, ünvan, pasport və kannabis seçimləri daxildirsə, həmin məlumatlara da çıxışı olub.

Daha sonra isə pasportların, sürücülük vəsiqələrinin və şəxsiyyət vəsiqələrinin sadə açıq URL-lərdə saxlandığını tapıb: https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg

Həmin klublar hər gün bu təhlükəsiz olmayan URL-lərlə 5,000 yeni fotoşəkil yükləyir, Azdoufal mənə deyib.

O, həmçinin açıq internetdə inzibati portal tapıb və klubların saytlarındakı zəif şifrələr və təhlükəsizlik tədbirlərinin sadə olduğunu, müasir qrafik prosessorlarla qısa zamanda qırıla biləcəyini müəyyən edib. "PuffPal" tətbiqi ilə klublar və üzvlər arasındakı özəl mesajlar da zəif qorunur.

Yaxşı xəbər: Nefosa xəbər verildikdən təxminən bir ay sonra, şirkət təhlükəsizlik tədbirləri görməyə başlayıb. Şirkət sistemini və zəif API-ləri düzəldilənə qədər bağlayır — Azdoufalın 10 iyun tarixli yoxlamalarında pasport şəkilləri və məlumatlar qorunur. Nefos yerli hakimiyyət orqanlarını məlumatlandırıb və dəyişiklikləri həyata keçirməyə, cəzaları ödəməyə, istifadəçiləri xəbərdar etməyə hazırdır.

Telefon müsahibəsində Nefos-un həmtəsisçisi Andreas Nilsen "The Verge"ə deyib ki, İrlandiyanın Məlumatların Qorunması İdarəsi ilə əlaqədədir. DPC-nin nümayəndəsi Evan O’Leary bunu elektron poçtla təsdiqləyib. Nilsen bildirib: "Biz potensial olaraq sızıntıdan təsirlənmiş hər kəsə məlumat verməliyik" və DPC-nin şirkətinə bunu necə düzgün etmək lazım olduğunu göstərəcəyinə ümid edir. Nilsen əlavə edib ki, hazırda kənar şəxsin verilənlərə daxil olduğuna dair heç bir sübut yoxdur, yalnız Azdoufal istisnadır.

Əlaqəli

• Bir milyon uşaq monitoru və təhlükəsizlik kameraları hakerlər tərəfindən izlənilə bilərdi
• DJI Romo robot-tozsoranın təhlükəsizliyi çox zəif idi, bu şəxs minlərlə cihazı uzaqdan idarə edib
• Haker məni robot ot biçən maşınla vurdu

Lakin Nefos təhlükəni ciddi qəbul etməyə gecdi. Azdoufal ilə əlaqəyə girdikdən sonra şirkətin cavab verməsi beş gün çəkdi. Sonra isə şirkət problemləri biznesə risk yaratmadan sənədlərdə kağız üzərində həll etməyə başladı.

İyunun əvvəlində Azdoufal pasport şəkillərinin kilidləndiyini dedi və mən hekayəni yazmağa hazır idim. Amma iyunun 4-də ona xəbər verdim ki, onun pasportu yenidən açıqdır, müdafiəsizdir.

Çünki Nefos hələ də kannabis klublarının "PuffPal" tətbiqindən istifadəsini dayandırmayıb. Klublar kilidlənmiş şəkillərin əvvəlki kimi göstərilməməsindən şikayət edirdi və buna görə Nefos şəkilləri yenidən açıb. Nilsen iddia edir ki, şəkillər "70 faiz hallarda" kilidlənib, amma açıq görünür ki, şirkət müştərilərini təhlükədən üstün tutub.

İyun ayının 9-da Azdoufal aşkar edib ki, Nefos pasport və şəxsiyyət vəsiqələrini tokenlərlə kilidləsə də, digər bütün istifadəçi məlumatlarına çıxış asandır: pasport nömrələri, telefonlar, elektron ünvanlar, ev ünvanları.

Bir haker sadəcə "curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d “user_id=[NÖMRƏ]&[KLUB ADI]=test&language=en” komandasını işlədərək məlumatları sərbəst əldə edə bilərdi. Bu məsələ Nefosa bildirildikdən sonra açıq dəlik də bağlanıb.

Şirkətin belə laqeyd davranmasına Nilsen belə münasibət bildirib: "Günahı başqalarının üzərinə qoymaq istəmirəm, çünki sonunda məsuliyyət bizimdir." Lakin o, məsuliyyəti 9Series outsorsinq şirkətinə yönəldir ki, həmin şirkət "PuffPal" tətbiqini hazırlayıb və zəif API-ləri yaradıb. (9Series-in cavabı dərc edilənədək məlum olmayıb.)

İndi PuffPal bağlandığı üçün Nefos hər klub üzvlərinə bildirir ki, QR kod sistemi ilə giriş mümkün olmayacaq, lakin üzvlər RFID kartını və ya telefon nömrəsini daxil edərək şəxsiyyət sənədlərini Nefos serverlərindən əldə edə bilərlər.

Nilsen iddia edir ki, şirkət müştərilərdən tələblər olsa belə, "PuffPal"ı yenidən təhlükəsiz olmadan işə salmayacaq. "Biz onlara deyəcəyik ki, buna icazə vermirik". "Bu fəlakətdən sonra müstəqil təhlükəsizlik tədqiqatçısı tərəfindən təsdiqlənməsini və 100 faiz təhlükəsiz olduğunu zəmanət verəcəyik." O əlavə edib ki, Nefos "9Series"lə əməkdaşlığı dayandırıb və yaxın aylarda yeni tətbiq təqdim etməyi planlaşdırır.

Nilsen qeyd edib ki, ABŞ qanunlarına görə şirkət məlumat sızıntısını 72 saat ərzində açıqlamalı və ya cəzalar ödəməli idi, amma bunu etməyib. "Əminəm ki, cəza veriləcək," deyib.

Ötən ay UK Visa Portal adlı sayt ən azı 100 min pasportun açıq olmasını təmin etmişdi. Ümid var ki, bu xəbərdarlıq ola bilər.