Bir güvenlik araştırmacısı, Malta İşletme Kayıt Sitesi'nin (MBR) ödeme sistemini manipüle ederek bir milyondan fazla belgeyi sembolik bir ücret karşılığında indirdi.
MBR, Alman araştırmacı Lilith Wittmann'ın 1,3 milyon PDF dosyasını sadece 1 sente indirmesine olanak tanıyan güvenlik açığını kapattığını açıkladı. Oysa kayıt sitesi normalde belge başına 1 ile 10 Euro arasında ücret talep ediyor.
Olay ilk kez Wittmann'ın X platformunda yaptığı paylaşımla kamuoyuna yansıdı. Araştırmacı, belgeleri elde ettikten sonra MBR sitesinin uzun hafta sonu boyunca çevrimdışı kaldığını öne sürdü.
Wittmann paylaşımında MBR'yi etiketleyerek şu ifadeleri kullandı: "Bazı kumar şirketleri, Malta'da yeni bir paravan şirket kurmak için uzun hafta sonunu değerlendiremedi. Çünkü Perşembe gününden bu yana Malta İşletme Kayıt Sitesi çevrimdışı."
Araştırmacı, "Ve hayır, bu sefer sizi gerçekten hacklemedim" diyerek erişimi MBR sitesinin uygulama programlama arayüzü (API) üzerinden sağladığını belirtti. API, bilgisayardan bilgisayara veya yazılımdan yazılıma iletişim sağlayan bir teknolojidir.
Wittmann, X üzerindeki diğer kullanıcılarla yaptığı yazışmalarda belgeleri kayıt sitesinin "yedeğini tutmak için" indirdiğini söyledi. Araştırmacı, "İkimiz de biliyoruz ki bu site zaman zaman belge kaybetme eğiliminde" ifadesini kullanarak 2020 yılında MBR'nin veri tabanından on binlerce kapatılan şirketi sildiğine dair medya haberine atıfta bulundu.
Aynı sayıda belgenin kayıt sitesinden normal yolla indirilmesi en az 1,3 milyon Euro tutarında olacaktı.
Wittmann'ın ödediği 1 sent, bu büyüklükteki bir belge arşivinin gerçek maliyetinin çok altında kalıyor. Normal fiyatlandırmaya göre izahnameler 10 Euro, şirket ana sözleşmeleri, ortaklık senetleri ve yıllık hesaplar 5 Euro, yıllık beyannameler 2 Euro, diğer belgeler ise 1 Euro'dan satılıyor.
Wittmann'ın eriştiği belge sayısının normal fiyatlarla indirilmesi en az 1,3 milyon Euro tutuyordu.
MBR, Times of Malta'ya yaptığı açıklamada erişimi doğruladı. Kurum, belgelerin tamamının kamuya açık olduğunu belirtirken araştırmacının "belgeleri düşük bir ücretle elde etmek için ödeme sistemini manipüle ettiğini" kaydetti.
Kayıt sitesi, Wittmann'dan herhangi bir yazışma almadığını ve sorunun çözüldüğünü açıkladı.
Bu, Wittmann'ın bir devlet veri tabanına eriştiği ilk olay değil. Araştırmacı, Mart ayında Malta Oyun Otoritesi'ndeki (MGA) sistem ihlalinin sorumluluğunu üstlendi. Wittmann, erişilen verilerin iddia edilen "organize suç destekleme şemalarına" ışık tutacağını söylemişti. MGA, ihlali birkaç gün önce kendi web sitesinde duyurmuştu.
MGA ihlali, araştırmacının Malta'nın kumar sektörünü hedef aldığı ilk olay da değildi. Wittmann geçen yıl, St Julian's merkezli bir yazılım şirketinin sisteminden bir milyondan fazla çevrimiçi kumarhane oyuncusuna ait hassas kişisel bilgilere ulaşmasını sağlayan güvenlik açığını "kolaylıkla" ortaya çıkarmıştı.
