Cyber güvenlik uzmanı JayeLTee, MyGiftCardSupply’e ait büyük bir güvenilmeyen veritabanı buldu. Önemli belgelerin görüntülerini ve selfie fotoğraflarını içeriyordu. Şirket daha sonra bunu kilitledi, ancak kullanıcıların yine de dikkatli olmaları gerektiği uyarısında bulundu.

Uzmanlar, hassas bilgiler içeren bir veritabanının korumasız şekilde internette olduğunu ve bu verilere erişim sağlayan herkese açık olduğunu belirtti. Veritabanında, sürücü belgeleri, pasaportlar ve diğer kimlik belgeleri bulunduğunu tespit eden bir sonraki inceleme, bu verilerin dijital hediye kartları satan MyGiftCardSupply adlı bir şirkete ait olduğunu ortaya koydu. Veriler Azure üzerinde barındırıldı ve çeşitli kimlik belgelerinin 600.000’inin ön ve arka görüntülerini içeriyordu. Ayrıca yaklaşık 200.000 adet selfie fotoğrafı bulunmaktaydı. Bazı şirketler, kullanıcıların sahiplik ve kimlik kanıtı olarak bir belge tutarak selfie çekmelerini gerektiriyor.

Hediye kartları sıklıkla çevrimiçi dolandırıcılıklarda kötüye kullanılır. Özellikle kripto para gibi paraları çalan kişiler, genellikle yasal yaptırımlardan kaçınmak için hediye kartları satın alırlar. Dolandırıcılığı ortadan kaldırmak ve yerel düzenlemelere uygun olmak amacıyla MyGiftCardSupply, tüm müşterilerin kimliklerini doğrulamaları gereken zorunlu bir Müşterini Tanı (KYC) sürecinden geçmelerini şart koşuyordu. Ne yazık ki, şirket bu verileri belirli bir süre korumasız bir şekilde tuttu. Tehdit unsurlarının bunu önceden keşfetip keşfetmediklerini bilmiyoruz, ancak bu bir olasılıktır. Bu tür veriler dark web’de satılabilir, dolandırıcılık ve kimlik hırsızlığında kullanılabilir, hatta tel dolandırıcılığında kötüye kullanılabilir.

JayeLTee, MyGiftCardSupply ile iletişime geçtikten sonra sonuç alamadığını ve ardından TechCrunch ile iletişime geçtiğini söyledi. Yayınlanan bir yanıtta, şirketin kurucusu Sam Gastro, araştırmacının bulgularını doğrulayarak, “Dosyalar artık güvenli ve KYC doğrulama prosedürünü tam bir denetmden geçiriyoruz.” dedi. “İleride, kimlik doğrulamayı yaptıktan hemen sonra dosyaları sileceğiz.” Şirket, veritabanını 1 Ocak 2025 tarihinde kilit altına aldığını söyledi.