Wishbone İhlali: Hacker 40 Milyon Kullanıcının Kişisel Verilerini Sızdırdı
Wishbone uygulamasında kayıtlı 40 milyon kullanıcının kişisel verileri, bilgisayar korsanları tarafından çevrimiçi olarak yayınlanmıştır. Kullanıcı adları, iletişim numaraları, e-posta adresleri, Facebook ve Twitter erişim belirteçleri, DOB’ler, konum, cinsiyet ve MD5 karma parolaları gibi kullanıcı bilgilerini içerir. Araştırmacılar, uygulamayı kullanan kullanıcılara ait olan doğru olduğu belirlenen verilerin gerçekliğini doğruladılar. Saldırganlar tarafından kimlik avı kampanyaları, hırsızlıklar, kimlik bilgisi doldurma saldırıları için kullanılabilir. Ayrıca hesap devralma gibi çeşitli kötü amaçlı etkinlikleri gerçekleştirmek için de kullanılabilir.
Wishbone, kullanıcılara sosyal içeriği karşılaştırmak için sosyal bir platform sağlayan bir mobil anket uygulamasıdır. Uygulama son zamanlarda toplam kullanıcı sayısını açıklamamıştır. Wishbone iOS App Store’daki en popüler 50 sosyal ağ uygulamasından biri olarak listelenmiştir.
Bu ihlal, uygulama için son üç yılda en büyük ikinci güvenlik olayı olarak geldi. 2017’nin başlarında hackerlar yaklaşık 2.2 milyon e-posta adresini ve 287.000 telefon numarasını ihlal etti. Temelde çocukların kişisel bilgilerini içeriyordu. Bununla birlikte, son ihlal esas olarak genç kadınlara ait verilerden oluşmaktadır.
Raporlara göre, veritabanı Mart ayından bu yana gizlice dolaşıyordu, karanlık web forumlarında binlerce dolara satıldı. Daha sonra, verileri sızdırdığı iddia edilen karanlık bir web taciri olan ‘ShinyHunters’, bireyleri yeniden satmaya başladıktan sonra verileri ücretsiz yayınlayacaklarını belirtti.
Veri güvenliği uzmanlarından sorumlu kıdemli başkan yardımcısı AG’yi teselli ederken, Mark Bower, “Görünüşe göre güvenlik ve mahremiyet bir kültür ve yazılım geliştirme süreci değil, daha sonradan düşünüldü. Parolalar MD5 ile birleştirilirse, etkilenen kullanıcılar hemen kimliklerinin ve parolalarının aynı parolayla başka bir yerde kullanılmadığından emin olmalıdır. MD5 güvenlik açısından bir uyarıdır, ancak güvenlik risklerini bilmeyen veya MD5 kullanan eski kod kitaplıklarını kullanan yanlış geliştiriciler tarafından kullanılır. Karma MD5 şifrelerini zorlamak zor değildir. Buradaki en büyük sorun kişisel veriler. Bu yüzden şimdi saldırganların elinde sosyal mühendislik için daha fazla veri var. ”
Güvenlik uzmanları Wishbone kullanıcılarına şifrelerini güncellemelerini veya değiştirmelerini ve hesaplarındaki şüpheli etkinliklerden kaçınmalarını önermişlerdir.
Bu haber hakkındaki yorumlarınızı aşağıya bekliyoruz.