ABD Otomobil Sigortası Platformu ClaimPix, 10,7 TB Kayıtları Çevrimiçi Olarak Sızdırdı

ABD genelinde otomobil sigortası taleplerini yöneten Illinois merkezli bir platform olan ClaimPix'in müşterilerine ait devasa bir veri koleksiyonunun, yakın zamanda internette herkesin erişimine açık olduğu keşfedildi.

Siber güvenlik araştırmacısı Jeremiah Fowler'ın, şifreyle korunmayan ve tamamen şifrelenmemiş 5,1 milyondan fazla dosya (10,7 terabaytlık devasa bir veri) içeren bir veritabanı bulduğu bildirildi. Bu araştırma Website Planet tarafından yayınlandı ve Hackread.com ile paylaşıldı.

Açığa çıkan veritabanında kişisel olarak tanımlanabilir bilgiler ( PII ) yer alıyordu. Fowler, analiz edilen dosyaların sınırlı bir kısmında müşterilerin adlarını, ev adreslerini, telefon numaralarını ve e-posta adreslerini içeren sigorta belgeleri buldu.

İfşa edilen belgeler arasında resmi araç kayıtları, onarım faturaları ve plakaları ve Araç Kimlik Numaralarını ( VIN ) açıkça gösteren hasarlı araçların görüntüleri gibi daha hassas belgeler de yer alıyordu.

Veritabanında ayrıca gizli yazılım lisans sözleşmeleri gibi şirket içi belgeler de yer alıyordu. Daha detaylı incelemeler, yıl, marka ve model gibi araç özelliklerini gösteren kayıtlar da dahil olmak üzere bu bilgilerin ne kadar kapsamlı olduğunu ortaya koydu.

Bu sızıntının en endişe verici yönlerinden biri, yaklaşık 16.000 Vekaletname (POA) belgesinin keşfedilmesidir. Vekaletname, bir başkasına, sahibi adına bir motorlu taşıtın mülkiyetini satın alma, satma veya devretme yasal yetkisi veren bir belgedir. Bu belgeler elektronik olarak imzalandığı ve hatta imzalayanın IP adreslerini içerdiği için ciddi bir tehdit oluşturmaktadır.

Suçlular, bu kişisel bilgiler ve yasal yetkilendirme kombinasyonunu kimlik hırsızlığı , mali suçlar veya hatta yeni, sahte bir kimlik oluşturmak için kullanabilirler. Fowler,blog yazısında, VIN ve plakaların ifşa edilmesinin, otomobillerde kimlik hırsızlığına benzer bir "araç klonlama" riski de yarattığını açıkladı.

ClaimPix, olayın ciddiyetini kabul etti. Şirket, Fowler'dan sorumlu bir açıklama bildirimi aldıktan sonra veritabanına erişimi hızla kısıtladı. Açıklamaya yanıt olarak, "Bulgularınızı araştırdık ve doğruladık" ve o zamandan beri "bu sorunu gidermek için politikalarımızı ve kodumuzu güncelledik ve bu değişiklikleri bu akşamın ilerleyen saatlerinde yayınlayacağız" dediler. Bu, müşteri verilerini bundan sonra korumak için atılmış olumlu bir adım.

Ancak, veritabanının ClaimPix tarafından mı yoksa üçüncü taraf bir satıcı tarafından mı yönetildiğinin henüz net olmadığını ve verilerin ifşa edildiği toplam sürenin hala bilinmediğini belirtmek önemlidir.