iCabbi yüzünden, Birleşik Krallık ve İrlanda’da 287.961 kişinin adları, e-posta adresleri, telefon numaraları ve kullanıcı kimlikleri çevrimiçi olarak açığa çıktı.
Bir araştırmaya göre BBC gibi medya kuruluşlarında ve Birleşik Krallık İçişleri Bakanlığı, Adalet Bakanlığı gibi çeşitli devlet dairelerinde üst düzey rollere sahip kişilerin bilgilerine de yer verildi.
Anlaşılan o ki, bir dizi eski Birleşik Krallık Parlamento Üyesi (milletvekili), bir üst düzey politika danışmanı ve bir AB büyükelçisi de veri ifşasına kapılmıştı.
Açığa çıkan veri setinde yaklaşık 2.000 akademik e-posta adresi de (.ac.uk alan adlarına sahip olanlar) görülüyordu. Bulgularını vpnMentor’a açıklayan siber güvenlik araştırmacısı Jeremiah Fowler, her hesabın benzersiz göründüğünü ve hiçbir kopyanın bulunmadığını söyledi.
Bu tür veriler teorik olarak taksi şirketini taklit eden, kurbanın tam adını kullanan ve kullanıcı kimlikleri de dahil olmak üzere diğer ayrıntıları bilerek meşru görünen kimlik avı dolandırıcılıklarını ikna etmek için kullanılabiliyor.
Dublin merkezli iCabbi, 15 ülkede 800’den fazla taksi filosuna, platformun tamamını oluşturan uygulamalar da dahil olmak üzere yazılım sağlıyor. Dispatch, filo gönderimini yönetmeye yönelik bir sistem ve BookApp, taksi şirketlerinin özel bir uygulama olmadan tüketiciye yönelik bir araç çağırma uygulaması deneyimi sunmasına olanak tanıyor.
Şirket ayrıca hesap tabanlı müşterileri daha kolay yönetmek için BookBusiness, otomatik sesli rezervasyon için BookVoice ve navigasyon ve araç içi ödemeler gibi şeyler için bir dizi sürücü uygulaması gibi yazılımlar da sunuyor.
Personel ayrıntılarının ifşaya dahil edilmemesi göz önüne alındığında, ifşa edilen verilerin iCabbi teknolojisiyle desteklenen, müşteriye yönelik uygulamalarla ilişkili olduğu görülüyor.
Fowler’ın verileri iCabbi’ye nasıl bağlayabildiği sorulduğunda şunları söyledi: “(iCabbi) ortak paydaydı. Veritabanında iCabbi’den de bahsediliyordu.”
Veritabanını bulmanın “son derece kolay” olduğunu ve şirketin bir siber suçlu çetesinden ziyade etik bir araştırmacıdan haber aldığı için şanslı olduğunu da ekledi.
Fowler, “Bu durumda, bir IoT arama motorunun API’sini kullanarak (veritabanını) buldum.” dedi. “İfşa edilen dosyalar dizine eklendi ve bunları manuel olarak inceledim. Ne yazık ki, bunları bulmak son derece kolaydı ve asıl tehlike, birçok kötü aktörün de bu tür verileri arıyor olmasıdır.
“Neyse ki, bir güvenlik araştırmacısından sorumlu bir açıklama bildirimi aldılar ve fidye yazılımı bildirimi yerine veritabanını güvence altına aldılar.”
Fowler, veritabanının; müşteri verilerinin yanı sıra şartlar ve koşullar dosyalarını da içeren çeşitli belgeler için uygulama tarafından kullanılan bir içerik yönetimi depolama deposu olduğunu düşünüyor. Açığa çıkan kayıtlar, korunan diğer belgelerle aynı klasörde saklanıyordu ancak bunların niteliği bilinmiyor.
“iCabbi ağının yakın risk altında olduğunu söylemiyorum, ancak müşteri belgelerinin toplandığı ve saklandığı dosya yolunun açığa çıkması konusunda varsayımsal bir risk sunuyorum.”
iCabbi, Fowler’a çoğu zaman olduğu gibi güvenlik sorununun nedeninin insan hatası olduğunu söyledi.
Bir şirket temsilcisi araştırmacıya “Bu konuya dikkatimi çektiğiniz için tekrar teşekkür ederim; kayıtları sildik.” dedi.
“Burada suç ne yazık ki insan hatası… müşterilerin taşınmasının bir parçası ama ortak klasörleri kullanmamalıyız. Müşterileri bu ihlalden haberdar etmek için onlarla temasa geçeceğiz.”
iCabbi’nin takdirine göre şirket konuyu bir gün içinde ele aldı ve Fowler’a göre onun açıklamasına profesyonelce yanıt verdi.
“Onların dürüstlüğüne ve ifşanın nasıl gerçekleştiğini açıklamalarına saygı duyuyorum. Bana göre bu, dürüstlüğü ve şeffaflığı gösteriyor.” dedi.
“Deneyimlerime göre, bir kuruluşta veri olayı yaşandığında önümüzdeki birkaç yıl içinde başka bir olayla karşılaşma ihtimali çok düşük.
“Bunun nedeni, kaynakların siber güvenlik ve zafiyet testlerine verilmesi ve yatırım yapılmasıdır. Stanford Üniversitesi’nin araştırmasına göre, tüm veri ihlallerinin yaklaşık yüzde 88’i insan hatasından kaynaklanıyor. Hatalar olur, bunun adı koymak ve utandırmak değil. Aynı zamanda farkındalık ve müşterilerin bilgilendirilmesiyle de ilgili.”
Şirketin, söylendiği gibi, etkilenen müşterilerle henüz temasa geçip geçmediği bilinmiyor. Veritabanının ne kadar süreyle açığa çıktığı ve siber suçlular tarafından veri tabanına erişilip erişilmediği konusunda da sorular devam ediyor.