Güvenlik uzmanları, LegalTech'lerde önemsiz veri sızıntılarını ortaya çıkarıyor
LegalTech girişimleri, müşterilerine kısmen veya tam otomatik olan ve böylece tüketici haklarını iddia etmek için birçok vakayı son derece verimli bir şekilde işleyebilen yasal hizmetler sunar. Bununla birlikte, yasal süreçlerin otomasyon derecesi ile tam otomatik veri kullanımı riski de artmaktadır. Son birkaç ay içinde LegalTech endüstrisinden iki şirkete tam olarak bu oldu. Kaos Bilgisayar Kulübü (CCC) davalarla ilgilendi.
Reklamcılık
Unutulmuş Git Dizin Tazminatları Verileri
LegalTech euflight tüketicinin korunmasına bağlıdır. Şirket, yolcuların uçuş iptalleri veya gecikmeler için taleplerini uygulamalarına ve talepleri indirimle (faktoring) satın almalarına yardımcı olmak istiyor. Toplanan yolcu hakları daha sonra, gerektiğinde yasal yollarla da havayollarına kıyasla EuFlight'ı uygular.
Eylül 2024 gibi erken bir tarihte, güvenlik araştırmacısı Matthias Marx a. Euflight'ın arka uç web sitesindeki herkes için erişilebilir Git Dizini, muhtemelen hatalı bir sunum işlemi olarak kaldı. Bu dizin, Linus Torvalds tarafından tasarlanan sürüm kontrol sisteminin dahili meta verilerini ve aynı zamanda etkilenen uygulamanın tüm kaynak kodunu içerir. Veri servetinin anahtarı bu konuda gizlendi: Marx, arka uç sistemi aracılığıyla şirketten birkaç bin EuFlight müşterisinden ve bazı veritabanı sunucularından elde edilen verilere erişebildi. Euflight sisteminden kısa süresi boyunca, hacker ayrıca eski şifre haash prosedürlerini ve yetersiz kimlik doğrulama mekanizmalarını fark etti. CCC üyesi Marx kulübü açtı. Buna karşılık aynı gün en kötü boşlukları kapatan şirketi bilgilendirdi.
Euflight Genel Müdürü Lars Watermann, Haberler Security'ye sızmaya nasıl geldiğini açıkladı: Yeni BT yöneticilerine devir yaptığında, .GIT dizinine erişime izin veren bir yanlış yapılandırma vardı. Saldırılan yazılım “eski”, yani şirketin teknik borcunun bir parçasıydı. Watermann, CCC tarafından eleştirilen noktaların çoğuna devam etti. Suçlu arka uç Temmuz 2024'ten beri açıktı, ancak CCC araştırmacısına ek olarak kimse dizine erişmemişti. Bu uzun zamandır düzeltildi, ancak şimdi bilgisayar korsanının daha fazla iyileştirme bildirimleri de uygulandı.
Matthias Marx ve Euflight Management sorumlu veri koruma otoritesini değiştirdi, ancak şirket müşterilerini bilgilendirmedi. Euflight muhtemelen talihsizlik konusunda şanslı olduğu için: günlük dosyalarının bir analizinin gösterdiği gibi, sadece güvenlik araştırmacıları güvenlik boşluğunu bulmuş ve açık verilere erişmişlerdir. Ve böylece Watermann bir müşteri bilgilerinden feragat edildiğini açıkladı – sonuçta hiçbir veri kaybolmadı.
Slopally yapılandırılmış web sunucusu açıktır
Anonim bir güvenlik araştırmacının CCC'ye bildirdiği ikinci bir veri sızıntısı önemli ölçüde daha genç. MyRight ile, müşterilerinin bisiklet kazasından oyun kaybına kadar yaşamın birçok alanında rücu iddialarını talep etmesine yardımcı olan bir yasal teknolojiyi de etkiler.
EuFlight'taki güvenlik araştırmacıları en azından arka ucun serbestçe yalancı PHP kaynak kodunu okumak zorunda kalırsa, MyRight merak için daha da kolay hale getirdi: Amazon Web hizmetlerinde yanlış yapılandırılmış bir web sunucusu indirmek için her türlü belge sundu. Açık veriler arasında Şirket ve Ortak Ofisi'nin açık yasal anlaşmazlıklarına ilişkin belgeler vardı. Güvenlik araştırmacısı Marx, Haberler Security'yi açıkladığı gibi, yetkisiz kişiler kimlik belgelerine, araç mektuplarına, spor bahislerinden yapılmış listelere ve 25.000'e kadar Myright müşterisine sahip diğer belgelere erişebilirdi.
Bu sayı Myright Genel Müdürü Bode-hala hangi müşterilerin potansiyel olarak etkilendiğini belirleyebilir. Ayrıca CCC'nin 27 Ocak'ta şirket ve sorumlu veri koruma otoritesini bilgilendirmesinden bir hafta sonra, web sunucusunun internette ne kadar açık olduğu hala belirsizdi.
Aynı gün, Myright ayrıca dedikodu web sunucusunu ağdan çıkardı. Şirket artık verileri, 2 faktörlü kimlik doğrulama ve zaman sınırı paylaşmak için daha iyi korunan bir platformla değiştiriyor. Buna ek olarak, MyRight dış pentest ve güvenlik analizlerini planlıyor, diyor Bode, 30 Ocak'ta denetleyici otoriteyi uyardı. Yetkisiz erişim kanıtı yok, Bode devam etti, bu nedenle müşteriler bilgilendirilmedi.
Kasvetli çıktı
Her iki şirket için de veri sızıntısı hafifçe çıktı – yerel dil onu “zihin olarak daha fazla mutluluk” olarak tanımlayacaktı. Sonuçta, her ikisi de ipuçlarını ciddiye aldı ve derhal savunmasız sistemleri yamaladı. Ve: CDU veya modern çözümün aksine, düdüğüne karşı hiçbir cezai şikayette bulunmadılar. Prosedürleri sert eleştirilerle karşılaştı ve “ürpertici bir etki” yarattı: keşiflerine karşı yasal misilleme korkusu için güvenlik boşlukları genellikle belirgin olmaya devam ediyor.
Birçok C'T-inverigative araştırma, sadece notlardan gelen anonim bilgiler sayesinde mümkündür.
Halkın öğrenmesi gereken bir şikayetin farkındaysanız, bize bilgi ve materyal gönderebilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Şirket raporlama uygulaması bir podcast konusudur
Hassas verilerin yanlış konfigürasyonlar yoluyla etrafta yattığı izole bir durum değildir. D-Trust'taki en son veri sızıntısında olduğu gibi veya açık web sunucuları ve veri sachers-güvenlik araştırmacıları ve saldırganları aracılığıyla gibi teminatsız API'lerin kullanılması genellikle sadece özensiz yöneticiler sayesinde erişmelidir. Marx'a göre şimdi belirli bir alışkanlık etkisi var – çok sık saçları keşfediyorsunuz.
Ve etkilenen şirketlerin prosedürü böyle bir arızadan sonra genellikle sorular ortaya çıkarır. 7 Şubat 2025'te yayınlanan Haberler Veri Koruma Podcast “Yorumlama” bölümünde, Joerg Heidrich ve üç Haberler editörü, şirketin raporlama uygulamasının yeterli olup olmadığını tartıştı. Tartışmalı bir nokta: Şirketler genellikle güvenlik araştırmacıları tarafından erişimi müşterileri bilgilendirmeyi gerekli kılan yabancı erişim olarak değerlendirmezler. Ancak veriler de burada akıyor – ve her taburcu olmayan pentester tamamen güvenilir değil.
(CKU)