bencede
New member
Almanya İçin Alternatif (AfD) partisinin internet sitesi yeterince korunmuyordu. Üyelik başvurularına herhangi bir ek koruma olmaksızın doğrudan bir web dizininden erişilebilir. Operatörler şimdi hatayı düzeltti.
Duyuru
İnternet aktivisti N3ll4, Twitter’da @n3ll41 hesabıyla güvenlik açıklarına dikkat çekti. AfD etki alanı altındaki bir sunucuda güvenli olmayan, serbestçe erişilebilen bir dizinde PDF dosyalarının bulunduğu dizinler vardı.
AfD: İnternette korumasız üyelik başvuruları
Üyelik başvuruları, tam ad, adres, doğum tarihi, e-posta adresi ve istenen üyelik aidatları gibi kişisel olarak tanımlanabilir bilgileri içerir. Bu, mali durum ve tabii ki ilgili kişilerin siyasi tercihleri hakkında sonuçlara varılmasını sağlar. Siber suçlular, bilgilerinizi akıllı ve hedefli kimlik avı için kötüye kullanabilir. Veriler muhtemelen şantaj veya tehditler için de kullanılabilir.
Haberler online hata mesajını anlayabildi. Dizin aslında erişime karşı tamamen savunmasızdı.
AfD üyelik başvurularının olduğu bir dizin tamamen korumasız kaldı.
(Resim: ekran görüntüsü / dmk)
Ancak N3ll4’ten AfD web sitesinde güvenlik açıklarına dair başka göstergeler de vardı. Örneğin, rb.afd.de etki alanı, bazı hizmetlere parola korumalı erişim sunar. BT güvenlik uzmanı Haberler online’a şunları söyledi: “rb.afd.de’yi olduğu gibi herkese açık bırakmazdım, çünkü kaba kuvvet ve benzeri yollarla veya mevcut güvenlik açıkları nedeniyle erişim elde edebilirsiniz.” AfD’de geçmişte yaşanan birçok veri sızıntısı nedeniyle parola koruması kolayca aşılabilirdi.
Duyuru
Örneğin, iki faktörlü kimlik doğrulama ile oturum açmanın daha güvenli olmaması şaşırtıcıdır. Ne de olsa AfD aslında rsa.afd.de’de böyle bir hizmet yürütüyor. Bir güvenlik açığı tarayıcısı, etki alanındaki güvenlik açıklarını hemen algıladı. Bunlar, Apache’nin mod_proxy’sinde HTTP isteklerinin (CVE-2023-25690, CVSS) kaçakçılığına izin veren kritik bir güvenlik açığını içerir. 9.8risk”eleştirmen“).
AfD “teorik erişim seçeneğini” kapattı.
İnternette Haberler hakkında soru sorulduğunda, AfD basın yetkilisi şu yanıtı verdi: “Gerçeklerin hızlı bir şekilde gözden geçirilmesinden sonra, çok kısa bir süre için AfD’ye üye olan adaylardan 15’e kadar üyelik başvurusuna erişim olduğu göz ardı edilemez. Bu teorik erişim, öğrenilmesinden kısa bir süre sonra kapatıldı. Veri koruma yönetmeliğinin ihlal edilip edilmediği, bunun veri sahiplerine veya Berlin’deki sorumlu Alman Veri Koruma Kurumuna ilgili raporlara yol açabilecek şekilde açıklığa kavuşturulması devam ediyor”.
Diğer taraflar da güvenlik açıkları nedeniyle veri sızıntılarıyla mücadele ediyor. Örneğin CDU, kampanya uygulamasındaki ve arkasındaki veritabanındaki zayıflıklara dikkat çektikten sonra ilk olarak ayaklanmayı etkileyen kişi Lilith Wittmann’ı işaretledi. Duyuru daha sonra geri çekildi ve parti de özür diledi.
(dmk)
Haberin Sonu
Duyuru
İnternet aktivisti N3ll4, Twitter’da @n3ll41 hesabıyla güvenlik açıklarına dikkat çekti. AfD etki alanı altındaki bir sunucuda güvenli olmayan, serbestçe erişilebilen bir dizinde PDF dosyalarının bulunduğu dizinler vardı.
AfD: İnternette korumasız üyelik başvuruları
Üyelik başvuruları, tam ad, adres, doğum tarihi, e-posta adresi ve istenen üyelik aidatları gibi kişisel olarak tanımlanabilir bilgileri içerir. Bu, mali durum ve tabii ki ilgili kişilerin siyasi tercihleri hakkında sonuçlara varılmasını sağlar. Siber suçlular, bilgilerinizi akıllı ve hedefli kimlik avı için kötüye kullanabilir. Veriler muhtemelen şantaj veya tehditler için de kullanılabilir.
Haberler online hata mesajını anlayabildi. Dizin aslında erişime karşı tamamen savunmasızdı.
AfD üyelik başvurularının olduğu bir dizin tamamen korumasız kaldı.
(Resim: ekran görüntüsü / dmk)
Ancak N3ll4’ten AfD web sitesinde güvenlik açıklarına dair başka göstergeler de vardı. Örneğin, rb.afd.de etki alanı, bazı hizmetlere parola korumalı erişim sunar. BT güvenlik uzmanı Haberler online’a şunları söyledi: “rb.afd.de’yi olduğu gibi herkese açık bırakmazdım, çünkü kaba kuvvet ve benzeri yollarla veya mevcut güvenlik açıkları nedeniyle erişim elde edebilirsiniz.” AfD’de geçmişte yaşanan birçok veri sızıntısı nedeniyle parola koruması kolayca aşılabilirdi.
Duyuru
Örneğin, iki faktörlü kimlik doğrulama ile oturum açmanın daha güvenli olmaması şaşırtıcıdır. Ne de olsa AfD aslında rsa.afd.de’de böyle bir hizmet yürütüyor. Bir güvenlik açığı tarayıcısı, etki alanındaki güvenlik açıklarını hemen algıladı. Bunlar, Apache’nin mod_proxy’sinde HTTP isteklerinin (CVE-2023-25690, CVSS) kaçakçılığına izin veren kritik bir güvenlik açığını içerir. 9.8risk”eleştirmen“).
AfD “teorik erişim seçeneğini” kapattı.
İnternette Haberler hakkında soru sorulduğunda, AfD basın yetkilisi şu yanıtı verdi: “Gerçeklerin hızlı bir şekilde gözden geçirilmesinden sonra, çok kısa bir süre için AfD’ye üye olan adaylardan 15’e kadar üyelik başvurusuna erişim olduğu göz ardı edilemez. Bu teorik erişim, öğrenilmesinden kısa bir süre sonra kapatıldı. Veri koruma yönetmeliğinin ihlal edilip edilmediği, bunun veri sahiplerine veya Berlin’deki sorumlu Alman Veri Koruma Kurumuna ilgili raporlara yol açabilecek şekilde açıklığa kavuşturulması devam ediyor”.
Diğer taraflar da güvenlik açıkları nedeniyle veri sızıntılarıyla mücadele ediyor. Örneğin CDU, kampanya uygulamasındaki ve arkasındaki veritabanındaki zayıflıklara dikkat çektikten sonra ilk olarak ayaklanmayı etkileyen kişi Lilith Wittmann’ı işaretledi. Duyuru daha sonra geri çekildi ve parti de özür diledi.
(dmk)
Haberin Sonu