AI chatbot hizmetleri sunan startup WotNot, siber güvenlik ihmaliyle gündeme geldi. CyberNews araştırmacılarının keşfine göre, Google Cloud üzerinde korunmasız bir şekilde bırakılan bir depolama havuzunda toplam 346.381 dosya erişime açıktı. Bu dosyalar arasında pasaportlar, tıbbi kayıtlar, özgeçmişler gibi hassas bilgiler bulunuyordu. Söz konusu veri sızıntısı, kullanıcıların tam adlarını, iletişim bilgilerini ve adreslerini içeren kişisel tanımlanabilir bilgileri (PII) içeriyordu.
WotNot’un verileri sızdırıldı
Depolama havuzunun herhangi bir yetkilendirme olmadan erişime açık olduğu ve güvenlik ihlalinin ilk bildiriminden sonra bile iki ay boyunca kapatılmadığı tespit edildi. Bu durum, WotNot’un müşterileri ve veri güvenliği açısından ciddi bir tehdit oluşturdu.
WotNot, 3.000’den fazla müşteriye chatbot hizmeti sunan bir girişim olarak sigorta, finans, sağlık, SaaS ve bankacılık gibi birçok sektöre hizmet veriyor. Şirket, kullanıcılarına kişiselleştirilmiş ve güvenilir bir deneyim vaat etse de bu olay, dış kaynak kullanımıyla gelen siber güvenlik risklerini gözler önüne serdi.
Üçüncü taraf hizmet sağlayıcılarla çalışmak, birçok işletme için olağan bir durum. Ancak bu tür hizmet sağlayıcıların güvenlik açıkları, müşteri verilerini riske atabilir. Özellikle AI tabanlı hizmetler, daha fazla veri akışı sağladığı için kontrolsüz sızıntı olasılığını artırıyor. WotNot’un yaşadığı bu sızıntı, müşterilerin sisteme kimlik bilgilerini girmesi nedeniyle veri ihlali riskini daha da büyütüyor.
CyberNews araştırmacılarına göre, sızıntıdan etkilenen bireyler, kimlik hırsızlığı, dolandırıcılık ve sosyal mühendislik saldırılarına karşı savunmasız durumda. Örneğin, kimlik belgeleri kredi başvurularında sahtecilik yapmak veya kişisel bilgilere dayalı kimlik avı saldırıları oluşturmak için kullanılabilir.
Bu olay, şirketlerin üçüncü taraf iş ortaklarını seçerken ve denetlerken daha dikkatli olmaları gerektiğini gösteriyor. Düzenli siber güvenlik değerlendirmeleri yapmak, olası riskleri azaltmak için kritik bir adım. Ayrıca müşterilere, chatbotlar gibi hizmetlerde hassas verilerini paylaşmadan önce dikkatli olmaları gerektiği hatırlatılmalı.
