Yenilenmiş depolama ürünleri satan goHardDrive (GHD) firması, büyük bir veri sızıntısıyla gündemde. Bir yazılımcı, firmadan ürün iadesi (RMA) talebinde bulunurken, şirketin müşteri bilgilerini güvensiz bir RMA durum sorgulama portalı üzerinden herkese açık hale getirdiğini kazara keşfetti.
Ortaya çıkan bilgilere göre, GHD'nin `ghdwebapps.com/rma` adresindeki portalı üzerinden herhangi bir RMA numarası (örneğin GHD00000 formatında) girilerek, ilgili müşterinin adı, posta adresi, e-posta adresi, telefon numarası, sipariş numarası ve tarihi, iade edilecek ürünler ve iade nedeni gibi tüm detaylarına ulaşılabiliyordu.
Normalde bu bilgilerin gizli olması gerekirken, sistem herhangi bir kimlik doğrulama gerektirmeden, geçerli bir RMA numarası giren herkese bu verileri gösteriyordu. Bu durum, basit bir yazılımla GHD'nin tüm RMA numarası kombinasyonlarının taranarak binlerce müşteriye ait kişisel bilgilerin kolayca toplanabileceği anlamına geliyordu. Programlama bilmeyenler bile manuel olarak numaraları deneyerek bu bilgilere ulaşabilirdi.
Sızıntıyı fark eden yazılımcı, durumu hemen şirkete bildirdi. GHD, iki saat içinde yanıt vererek sorunu üç ila beş iş günü içinde düzelteceğini belirtti. Ancak şirket, yazılımcıyı gelişmelerden haberdar etmedi. Yapılan ilk düzeltme, müşteri bilgilerini göstermek için ek olarak posta kodu ve ev numarası girilmesini gerektirmek oldu. Ortalama bir kullanıcı için bu yeterli görünse de, kararlı bir saldırgan için bu hala oldukça kolay bir hedefti.
Örneğin ABD'de yaklaşık 42.000 geçerli posta kodu ve genellikle sıfır ile yüz arasında değişen ev numaraları olduğu düşünüldüğünde, her bir RMA numarası için 4,2 milyon olası kombinasyonu denemek gerekirdi. Bu kulağa büyük bir sayı gibi gelse de, uzmanlar sık kullanılan posta kodları ve ev numaraları üzerinden optimize edildiğinde, saldırganın 50.000 deneme sonrasında %50'den fazla başarı şansı olduğunu belirtiyor. Günümüzde veri sunucularının yaygınlığı ve maliyetinin düşüklüğü sayesinde, bu tür "kaba kuvvet" saldırıları çok daha ucuz hale geldi. Saniyede 40.000 sorgu yapabilen bir hizmetin saati 0,30 dolara mal olabiliyor, bu da her üç saniyede bir geçerli sonuç alınabileceği anlamına geliyordu.
Tüm bu güvenlik açıkları nedeniyle GHD, RMA durum sorgulama sayfasını tamamen kaldırmak zorunda kaldı. Artık müşterilerinden durum güncellemeleri için kendilerine e-posta göndermelerini istiyorlar. Yazılımcı, şirketin bu tür keşifler için bir hata ödül programı olup olmadığını sorduğunda, maalesef böyle bir programları olmadığını öğrendi. Yine de, "teşekkür" mahiyetinde, 330 dolarlık alışverişi için 20 dolarlık bir iade teklif edildi. Bu tür güvenlik açıklarının tespit edildiği hata ödül programlarında ödüllerin yüzlerce hatta binlerce dolara ulaştığı, zira bu tür sızıntıların şirketlere milyonlarca dolarlık cezalara mal olabileceği göz önüne alındığında, teklif edilen bu miktar oldukça düşük kaldı.
