bencede
New member
APCOA garajının operatöründen veri kaybı
Avrupa'da hareket eden en büyük garaj operatörü APCOA ile ve ifadelerine göre müşteri verilerini görüntülemeyi mümkün kılan bir veri kaybı vardı. Android ve Apple cüzdanı için şirket müşterilerinin ve dijital biletlerin faturaları mevcuttu. Boşluktan yararlanmak için, müşteriler için görüntülenebilecek bir URL'de rezervasyon numarasını saymak veya indirmek yeterliydi.
Bir veritabanındaki tüm veriler
APCOA'nın hizmetini sunduğu birçok farklı yer ilgilenmektedir. Araştırmamızda, Almanya, Danimarka, Polonya ve İrlanda otoparklarından verileri çağırabildik. APCAA, 58 Avrupa havaalanından on iki Avrupa ülkesinde 12.000 yeri yönettiğini iddia ediyor. Dikkat çekici: Rezervasyon sistemlerine genellikle alan adı altında çevrimiçi olarak ulaşılabilir, örneğin, örneğin garajın bulunduğu havaalanı. Arka planda, APCOA sayısal bir gruba sahip sadece tek bir veritabanı çalışıyor gibi görünüyor, çünkü sayıyı artırarak veya azaltarak, bir URL altında APCOA diğer konumlardan veri kayıtlarını görüntülemek mümkün oldu.
Haberler-investigative tarafından yapılan birçok araştırma, ancak notların anonim bilgileri sayesinde mümkündür.
Halkın öğrenmesi gereken bir şikayetin farkındaysanız, bize bilgi ve materyal gönderebilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Şirket müşterileri için verilen faturalarda, hem şirketin adresi hem de müşterinin adları görünürdü. Aracın park edilmesi ve hangi pozisyonda rezerve edildiği dönem de performans da belirgindi. Örneğin “T1 ve T2 terminali hakkında P2”.
Cüzdanlar için dijital biletler isimler değil, araç plakası, rezervasyon dönemi ve bazen de araç modeli içeriyordu. Diğer şeylerin yanı sıra, 23: 30'da 29.03.2025 saatleri arasında 26.03.2025 tarihinden itibaren belirli bir plak ile bir Porsche plaketinin 23: 30'da keşfedildiğini keşfedebildik. “Açık P3 otoparkında” bir havaalanına park edilmelidir.
2019'a dönen faturalar ve biletler görünürdü. Şirket, eski veri kayıtları için bireysel verilerin otomatik anonimleştirmesini etkinleştirmişti. 2025 belgelerindeki ve 2024 belgesinde kısmen görülebilen veriler tamamen görülebilir. Tüm eski faturalar sadece anonim veriler içeriyordu.
Teknik olarak önemsiz boşluk
Bir okuyucu sorunu keşfetti ve endişesiyle Haberler'nin araştırma ekibi için savaşmıştı. Biletini aldığında, URL'nin sonunda fatura numarasını değiştirmiş ve diğer verileri de görebileceğini fark etmişti.
16 Nisan 2025'te APCOA ve Veri Koruma Müdürü ile temasa geçtik. 24 Nisan'da şirket pozisyona atıfta bulundu: -evdeki bir analizin sistematik bir veri drenajı olmadığını göstermektedir. Ayrıca, müşteriler tarafından güvenlik boşluğunun manipülasyonu ve keşfi açısından “pratik olarak düşük risk” de söz konusudur.
Zaten 17 Nisan 2025'te APCOA, sistemlerinde sorunu çözen bir sıcaklık oynadı. Editoryal ekibi ertesi gün bu konuda bilgilendirildi. O zamandan beri, rezervasyon numarasına ek olarak bir karma kontrol edildi.
Eski bir tanıdık (hata)
APCOA, bakımı kolay olan ve bu nedenle verileri müşteriler için erişilebilir kılan ERL parametrelerini kullanan ilk çevrimiçi hizmet operatörü değildir. Geçmişte, benzer durumlarda defalarca rapor ettik. 2022'de, otelin Bavaren Legoland'daki müşterilerinin verilerinin aynı prosedüre yönlendirildiği neredeyse aynı durumda bildirilmemiştir.
Aşı ve test merkezleri, Coronapandemie 2020'nin başlamasından kısa bir süre sonra ve çevrimiçi tarihin tarihine sahip bazı gömlek kolları oluşturulduğunda, bu hata bağırıyor.
Diğer şeylerin yanı sıra, zayıf güvenlik noktalarının ilk 10 listesinden birini koruyan “Açık Dünya Uygulamaları Güvenlik Projesi” kar amacı gütmeyen kuruluş (OWASP) karşılaştırılabilir sorunları biliyor. Daha fazla yetkilendirme testi olmadan bir URL içeren “Kırık Erişim Kontrolü” hatası, mevcut OWASP değerlendirmesinde ilk sırada yer alıyor.
(TLZ)