Fintech firması Miio’dan 2.9 milyon dosya çevrimiçi olarak açığa çıkarıldı. Araştırmacılar, bilgilerin aylarca korunmasız bir şekilde olduğunu belirtiyor. Şirket, açıklama bildirisine henüz yanıt vermedi.

Bilgi güvenliği uzmanları, Meksika’daki müşterilere mobil telekomünikasyon ve finansal hizmetler sunan finans teknolojisi firması Miio’nun büyük bir veri sızıntısı yaşadığını iddia etti. Cybernews’den elde edilen bulgulara göre dosyaların en az birkaç ay boyunca korunmasız olduğu ve şirketin başlatıldığı 2017 yılına kadar uzanan dosyaları içerdiği bildirildi. Bu durum, tüm Miio müşterilerinin etkilendiğini güçlü bir şekilde gösteriyor. 2.9 milyon farklı KYC belgesi taraması bulundu, aralarında pasaportlar, kimlikler, sürücü belgeleri ve müşteri fotoğrafları yer alıyordu.

Verilere kötü niyetli aktörlerin eriştiğine dair henüz kanıt bulunmasa da, araştırmacıların erişim sağlayabilmesi nedeniyle başkalarının da erişmiş olması muhtemeldir. Hükümet tarafından verilen kimlikler, kimlik hırsızlığını ve dolandırıcılığı kolaylaştırabileceği için saldırganlar için son derece değerlidir.

Araştırmacılar, sızıntıyı 12 Eylül 2024 tarihinde keşfettiler ve ilk açıklama 2 Ekim’de gönderildi ve depolama kovasının en az üç aydır açık olduğu belirtildi. Araştırmacıların girişimleri ‘sessizlikle karşılandı’. KYC belgeleri yanlış ellere geçerse, saldırganlar kurbanların adına banka hesapları açabilir, kredi başvurusu yapabilir veya kredi kartları alabilirler.

Kimlik belgelerinin türü ve müşteri doğrulaması için selfie’lerin bulunmasıyla, araştırmacılar bu durumun hacker’ların mevcut müşteri hesaplarını ele geçirmelerine imkan verdiğini belirtiyor ve mağdurları önümüzdeki aylarda son derece dikkatli olmaları konusunda uyarıyor.

“Miio’nun geniş müşteri kitlesine hizmet veren bir telekom bankası olarak, bu tür bir sızıntı, hassas verileri koruma yeteneklerine duyulan güveni zedelerken, kullanıcılarını ciddi mali ve kişisel risklere maruz bırakacaktır.”