Korumasız sunucu otomotiv üreticilerinin sırlarını ortaya döktü

Hatalı yapılandırılmış bir veri aktarım sunucusu, dünyanın en büyük otomotiv üreticilerinin hassas verilerini yetkisiz kişiler tarafından erişilebilir bıraktı. Merkezi Kanada’da bulunan ve Chrysler, VW, Ford, Toyota ve Tesla gibi otomotiv şirketlerine otomasyon hizmetleri veren bir şirket olan Level One Robotics, ticari sırları da içeren 157 GB’lık veriyi yetkisiz kişilerin erişimine açık bıraktı.

Şirket, internete bağlı sunuculardaki bilgileri kopyalamak için açık kaynaklı rsync veri aktarımı ve senkronizasyon yardımcı uygulamasını kullanıyor. Ancak Upguard adlı güvenlik şirketi, kullanılan uygulamanın doğru bir şekilde yapılandırılmadığını tespit etti. Yani rsync sunucusuna erişimi olan tüm çalışanlar ve müşteriler bu verilere rahatça ulaşabiliyor ve bu verileri indirebiliyordu.

Açıkta bırakılan verilerin içinde çok hassas bilgiler yer alıyor

157 GB’lık verinin içinde otomotiv şirketlerinin fabrika planları, montaj hattı şemaları, robot yapılandırmaları, kimlik kartı talepleri ve sanal özel ağ erişim formları gibi bilgiler bulunuyor. Bilgiler sadece bunlarla sınırlı değil. Otomotiv şirketlerinin gizlilik anlaşmaları, Level One çalışanlarının pasaport ve sürücü ehliyetleri ve diğer kimliklerinin kopyaları da veriler içinde yer alıyor.

Sunucuya erişimi olanlar sadece verileri okuma hakkı yok, aynı zamanda verilere yazma hakları da bulunuyordu. Yani sunucuya erişebilen birisi bu verileri istediği gibi değiştirebiliyordu.

Kısacası düzgün yapılandırılmayan bir sunucu bir anda büyük bir tehlike haline gelebiliyor. Bu yüzden her zaman gerekli önlemlerin alındığından ve testlerin yapıldığından emin olmak gerekiyor.