bencede
New member
Berlin spor sağlayıcısı “Urban Sports Club”ta büyük bir veri ihlali meydana geldi. Kişisel verileri içeren on binlerce kayıt, Google Bulut Depolama'da herkesin erişebileceği bir dizinde depolandı; Ayrıca kimlik kartlarının kopyaları ve muhasebe verilerini içeren binlerce PDF dosyası da vardı. Fitness servis sağlayıcısı artık sızıntıyı kapattı.
Duyuru
“Urban Sports Club”, Almanya'daki ve diğer beş Avrupa ülkesindeki üyelerine, ortak şirketlerden klasik fitness merkezlerinden sağlıklı yaşam tekliflerine ve trambolinle atlama veya kaya tırmanışı gibi popüler sporlara kadar spor teklifleri sunuyor. Üyelere avantajı: Birden fazla stüdyoya veya kulübe üye olmak zorunda değiller ve spor aktiviteleri için birçok partnerden indirim alıyorlar. Bunun karşılığında kişisel verilerini, kendilerine gerekli özeni gösterecek olan platform operatörüne emanet ederler.
900.000 dosya
Spor sağlayıcısındaki veri sızıntısı çok büyük boyutlarda olduğu için görünüşe göre gerçekleşmeyen de buydu: Haberler Security'nin editör ekibine anonim olarak bildirildiği üzere, ilgilenen bir kişi bulut depolama hesabında toplam 900.000 dosya buldu. Ayrıca, bir darknet forumunda, satışa yönelik bir veri hazinesi sunan yaklaşık iki yıllık bir liste buldu. Rakamlar ortada: 90.000'den fazla PDF, 800.000'den fazla resim dosyası (bunlardan bazıları web sitesinin normal işlemlerinin bir parçasıydı) ve yaklaşık 8.700 CSV dosyası Google Depolama hesabındaydı.
Yazı işleri ekibi veri sızıntısını anlamayı başardı. Örneklerimizde, diğer bilgilerin yanı sıra, yaklaşık 50.000 üyenin adlarını, fatura ve e-posta adreslerini, üyelik bilgilerini ve ayrıca “Urban Sports”taki müşteri ziyaretlerine ilişkin “giriş verileri” olarak adlandırılan bilgileri içeren CSV dosyaları bulduk. Kulüp Üyeleri”. Bunlar üyeler için hareket profilleri oluşturmak ve spor tercihlerini keşfetmek için kullanılabilir. Yazı işleri ekibi ayrıca spor uygulamasının ortaklarına da teşekkür ediyor.
Kentsel spor kulüplerinden elde edilen veriler arasında isimler, adresler, e-postalar, spor hareketlerinin profilleri ve hatta kimlik kartlarının kopyaları bulunuyordu.
(Resim: Haberler Güvenlik / C.Kunz)
Verilerin internette ne kadar süreyle açıkça dolaştığı belli değil. Pek çok kayıt daha eski, örneğin 2017 ve 2018, ancak en eski dosyanın zaman damgası Ağustos 2019'dur. Dosyalar en son Ekim 2022'de değiştirildi. Bu yılın Mart ayının ortasında, yasal işlem korkusuyla anonim kalmak isteyen veri sahibi, Sözde “hacker paragrafı” nedeniyle misillemede bulunulan Berlin Spor Kulübü'nden sorumlu veri koruma görevlisiyle temasa geçildi, ancak davanın ancak 26 Mart'ta Haberler Güvenlik'in spor sağlayıcısına ve şirkete yaptığı bir talepten sonra başladığı görülüyor. Denetleyici otorite: Veri sızıntısı 27 Mart'tan bu yana durduruldu. Urban Sports Club daha önce editör ekibine güvenlik açığıyla ilgili daha fazla ayrıntı için çeşitli sorular sormuş ve bunları almıştı.
Etkilenenlere bugün itibarıyla bilgi verildi
Kendi açıklamasına göre sağlayıcı, bugün Urban Sports Club'ın 100.000'den fazla üyesini veri ihlali konusunda bilgilendirdi. Ancak 28 Mart öğle vakti Berlin'in veri koruma görevlisine sızıntıya ilişkin herhangi bir bilgi verilmemişti. Bir ajans temsilcisi, 26 Mart'ta isimsiz bir ihbarın alındığını doğruladı ve bu durum resmi bir soruşturmaya yol açtı.
Veri sahiplerinin artık Genel Veri Koruma Yönetmeliği (GDPR) uyarınca haklarını talep etmek için sağlayıcıyla iletişime geçmesi gerekiyor. GDPR'nin 17. Maddesi kapsamındaki silme ve “unutma” hakkı burada özellikle önemli görünmektedir: Veri setlerinin çoğu, fitness platformunun ticari operasyonları için yıllarca artık gerekli olmayabilir. Ayrıca dokuz yıl önce üyeliğini iptal eden üyelerin verilerini de bulabilirsiniz.
Satıcının güvenlik açığını nasıl ele aldığı da soruları gündeme getiriyor. Şirket sözcüsü 26 Mart'ta Haberler Security'ye teknik ve güvenlik ekiplerinin yanı sıra harici bir sızma testi sağlayıcısının boşluğu aradığını söyledi: uzmanların tamamen açık bir Google Depolama hesabını gözden kaçırdığı açık Urban Sports Club'da veri güvenliğine ilişkin belirsiz imaj .
Fitness sağlayıcısının basın ofisi, planlanan önlemler ve veri koruma ihlalinin süresi hakkında bir editoryal anketi yanıtsız bıraktı. Perşembe öğleden sonra geç saatlerde şirketten, olanlardan duyduğu üzüntüyü ifade eden ve konuyu açıklığa kavuşturmak için özenle çalışacağına söz veren kısa bir açıklama aldık.
Çoğu araştırmacı araştırma ancak bilgi verenlerin anonim bilgileri sayesinde mümkündür.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Anonim ve güvenli gelen kutumuzu kullanın.
Yanlış yapılandırılmış web sunucuları veya bulut depolama hizmetleri nedeniyle veri kayıpları nadir değildir. Sadece birkaç hafta önce günlük bakım uygulamasının yapımcısı Stayinformed'da bir güvenlik açığı keşfedildi.
(cku)
Haberin Sonu
Duyuru
“Urban Sports Club”, Almanya'daki ve diğer beş Avrupa ülkesindeki üyelerine, ortak şirketlerden klasik fitness merkezlerinden sağlıklı yaşam tekliflerine ve trambolinle atlama veya kaya tırmanışı gibi popüler sporlara kadar spor teklifleri sunuyor. Üyelere avantajı: Birden fazla stüdyoya veya kulübe üye olmak zorunda değiller ve spor aktiviteleri için birçok partnerden indirim alıyorlar. Bunun karşılığında kişisel verilerini, kendilerine gerekli özeni gösterecek olan platform operatörüne emanet ederler.
900.000 dosya
Spor sağlayıcısındaki veri sızıntısı çok büyük boyutlarda olduğu için görünüşe göre gerçekleşmeyen de buydu: Haberler Security'nin editör ekibine anonim olarak bildirildiği üzere, ilgilenen bir kişi bulut depolama hesabında toplam 900.000 dosya buldu. Ayrıca, bir darknet forumunda, satışa yönelik bir veri hazinesi sunan yaklaşık iki yıllık bir liste buldu. Rakamlar ortada: 90.000'den fazla PDF, 800.000'den fazla resim dosyası (bunlardan bazıları web sitesinin normal işlemlerinin bir parçasıydı) ve yaklaşık 8.700 CSV dosyası Google Depolama hesabındaydı.
Yazı işleri ekibi veri sızıntısını anlamayı başardı. Örneklerimizde, diğer bilgilerin yanı sıra, yaklaşık 50.000 üyenin adlarını, fatura ve e-posta adreslerini, üyelik bilgilerini ve ayrıca “Urban Sports”taki müşteri ziyaretlerine ilişkin “giriş verileri” olarak adlandırılan bilgileri içeren CSV dosyaları bulduk. Kulüp Üyeleri”. Bunlar üyeler için hareket profilleri oluşturmak ve spor tercihlerini keşfetmek için kullanılabilir. Yazı işleri ekibi ayrıca spor uygulamasının ortaklarına da teşekkür ediyor.
Kentsel spor kulüplerinden elde edilen veriler arasında isimler, adresler, e-postalar, spor hareketlerinin profilleri ve hatta kimlik kartlarının kopyaları bulunuyordu.
(Resim: Haberler Güvenlik / C.Kunz)
Verilerin internette ne kadar süreyle açıkça dolaştığı belli değil. Pek çok kayıt daha eski, örneğin 2017 ve 2018, ancak en eski dosyanın zaman damgası Ağustos 2019'dur. Dosyalar en son Ekim 2022'de değiştirildi. Bu yılın Mart ayının ortasında, yasal işlem korkusuyla anonim kalmak isteyen veri sahibi, Sözde “hacker paragrafı” nedeniyle misillemede bulunulan Berlin Spor Kulübü'nden sorumlu veri koruma görevlisiyle temasa geçildi, ancak davanın ancak 26 Mart'ta Haberler Güvenlik'in spor sağlayıcısına ve şirkete yaptığı bir talepten sonra başladığı görülüyor. Denetleyici otorite: Veri sızıntısı 27 Mart'tan bu yana durduruldu. Urban Sports Club daha önce editör ekibine güvenlik açığıyla ilgili daha fazla ayrıntı için çeşitli sorular sormuş ve bunları almıştı.
Etkilenenlere bugün itibarıyla bilgi verildi
Kendi açıklamasına göre sağlayıcı, bugün Urban Sports Club'ın 100.000'den fazla üyesini veri ihlali konusunda bilgilendirdi. Ancak 28 Mart öğle vakti Berlin'in veri koruma görevlisine sızıntıya ilişkin herhangi bir bilgi verilmemişti. Bir ajans temsilcisi, 26 Mart'ta isimsiz bir ihbarın alındığını doğruladı ve bu durum resmi bir soruşturmaya yol açtı.
Veri sahiplerinin artık Genel Veri Koruma Yönetmeliği (GDPR) uyarınca haklarını talep etmek için sağlayıcıyla iletişime geçmesi gerekiyor. GDPR'nin 17. Maddesi kapsamındaki silme ve “unutma” hakkı burada özellikle önemli görünmektedir: Veri setlerinin çoğu, fitness platformunun ticari operasyonları için yıllarca artık gerekli olmayabilir. Ayrıca dokuz yıl önce üyeliğini iptal eden üyelerin verilerini de bulabilirsiniz.
Satıcının güvenlik açığını nasıl ele aldığı da soruları gündeme getiriyor. Şirket sözcüsü 26 Mart'ta Haberler Security'ye teknik ve güvenlik ekiplerinin yanı sıra harici bir sızma testi sağlayıcısının boşluğu aradığını söyledi: uzmanların tamamen açık bir Google Depolama hesabını gözden kaçırdığı açık Urban Sports Club'da veri güvenliğine ilişkin belirsiz imaj .
Fitness sağlayıcısının basın ofisi, planlanan önlemler ve veri koruma ihlalinin süresi hakkında bir editoryal anketi yanıtsız bıraktı. Perşembe öğleden sonra geç saatlerde şirketten, olanlardan duyduğu üzüntüyü ifade eden ve konuyu açıklığa kavuşturmak için özenle çalışacağına söz veren kısa bir açıklama aldık.
Çoğu araştırmacı araştırma ancak bilgi verenlerin anonim bilgileri sayesinde mümkündür.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Anonim ve güvenli gelen kutumuzu kullanın.
Yükleniyor…
Haber
Yanlış yapılandırılmış web sunucuları veya bulut depolama hizmetleri nedeniyle veri kayıpları nadir değildir. Sadece birkaç hafta önce günlük bakım uygulamasının yapımcısı Stayinformed'da bir güvenlik açığı keşfedildi.
(cku)
Haberin Sonu