Yüzlerce Karvi Solutions restoran web sitesinde çok sayıda güvenlik açığı bulunmaya devam ediyor. Bu, 2024'ün başından bugüne kadar on binlerce müşterinin verilerinin kamuya açık olmasını sağlayacak. Etkilenenler tam adlar, adresler, e-posta adresleri, cep telefonu numaraları ve “!!!!!! jalapenos olmadan!!!!!!!!!!” gibi sipariş ayrıntılarıdır. Çok sayıda uyarıya rağmen şirket, eksiklikleri yeterince gidermiyor gibi görünüyor.
Duyurudan sonra devamını okuyun
SMS hala güvenli olmayan bir API aracılığıyla gönderilebilir.
(Resim: Haberler medyası)
“Karvi-geddon: Bir Restoran Sipariş Platformu Nasıl Bir Güvenlik Felaketi Haline Geldi” kaynak kodunun analizi, güvenlik mimarisindeki önemli eksiklikleri ortaya koyuyor. 15 Aralık 2025'te, etkilenen kişilere bir güvenlik açığı analizi içeren Git deposuna atıfta bulunan bir SMS gönderildiği anlaşılıyor: “Karvi Solutions'da veri sızıntısı var. Yine. Daha fazla ayrıntı GitHub'da.” Güvenli olmayan bir API aracılığıyla müşterilere SMS gönderilmeye devam edilebilir. Karvi tarafından kullanılan Twilio ve AWS bulut platformlarına yönelik aktif API anahtarlarına da hâlâ erişilebiliyor.
Uzmanlar güvenlik mimarisini ihmalkar bir şekilde korunan olarak tanımlıyor. Kodun analizine göre sistem aynı zamanda tam kredi kartı numaralarını, son kullanma tarihlerini ve üç haneli doğrulama numaralarını (CVV'ler) depolamış olabilir; bu numaralardan sonuncusu Kredi Kartı Endüstrisi Güvenlik Standartlarını (PCI DSS) ihlal etmektedir.
“Burada bulduğumuz şey beceriksizliğin ötesine geçiyor. Güvenlik raporlarına yanıt vermeyi tamamen reddetmek, belgelenmiş güvenlik eksiklikleri geçmişiyle birleştiğinde, bir şirketin müşterilerinin verilerinin güvenliğini veya gizliliğini umursamadığını gösteriyor.”
(Resim: Github)
SQL enjeksiyonu ve saldırganlara açık kapılar
Yazılım, SQL enjeksiyonuna izin veren güvenlik açıkları içeriyor. Kullanıcı girişi, filtreleme yapılmadan veritabanı sorgularına eklenir. Bu, saldırganların veritabanını tamamen okumasına veya değiştirmesine olanak tanır. Ayrıca, kusurlu bir dil dosyası yönetim işlevi, sunucunun tam kontrolüne izin verir: Saldırganlar, oturum açmadan isteğe bağlı PHP kodu yükler ve çalıştırır.
Araştırmalar, bir web sitesinin sipariş onaylarını sunucuda korumasız metin dosyaları olarak sakladığını gösteriyor. Dosya adlarını tahmin etmek kolaydır. Bu, isim, adres, telefon numarası ve ödeme bilgileri gibi sipariş ayrıntılarına erişmeyi kolaylaştırır. Bu arada kaynak kodunun tamamı zip arşivi olarak da halka açıktı.
Gizlilik Otoritesi yasal işlem hazırlıyor
Duyurudan sonra devamını okuyun
Mevcut güvenlik eksiklikleri nedeniyle Hamburg'un veri koruma sorumlusu Thomas Fuchs yasal işlem başlatmaya hazırlanıyor. Bir sözcü şunları söyledi: “Güvenlik açıklarını kapatmak için Karvi Solutions ile uzun vadeli bir süreç içindeyiz ve bu da bazı iyileştirmelere yol açtı. Ancak müşterilerin kişisel verilerine erişime izin veren güvenlik açıklarını tespit etmeye devam ediyoruz. Bu nedenle şimdi şirkete karşı yasal işlem yapmaya hazırlanıyoruz. Gerekli tedbirleri uygulamak”.
Neredeyse bir yıldır güvenlik açığı
2025'in başlarında Kaos Bilgisayar Kulübü ciddi güvenlik açıklarına dikkat çekti. Karvi Solutions yazılımını kullanan 500'den fazla restoranı etkilediler. O zaman bile sorunlar, korumasız arka uçlardan SQL enjeksiyonuna, kaynak kodu ve müşteri verileriyle serbestçe erişilebilen yedeklemelere kadar değişiyordu. CEO Vitali Pelz o sırada tüm boşlukların doldurulduğunu açıklamıştı.
Karvi Solutions iddiaları yalanladı
Karvi Solutions iddiaları reddediyor. Şirket, yaz aylarında olduğu gibi itibarını zedeleyecek hedefli bir kampanyadan bahsediyor. Şirketin raporuna göre verilere, üçüncü taraf satıcılardaki güvenlik açıkları veya restoran API'leri aracılığıyla erişildi. Karvi Solutions'a göre büyük sistemlerden hiçbir zaman ödün verilmedi.
Şirket ayrıca kredi kartı verilerinin saklandığını da reddediyor. Ödemeler yalnızca ödeme hizmeti sağlayıcılarının pop-up'ları aracılığıyla yapılacak. Karşılaşılan SQL enjeksiyon açığı, eski bir müşteri web sitesindeki izole bir durumdu. GitHub'ın analizi şirketi “abartılı” ve “manipüle edilmiş” olarak nitelendiriyor. Tüm web siteleri kontrol edildi. Şirketin verdiği bilgiye göre yıl ortasından bu yana herhangi bir güvenlik açığı yaşanmadı. Ancak bu beyan hem teknik analizlerimizle hem de veri koruma otoritesinin beyanlarıyla çelişmektedir.
(mak)
Bir yanıt yazın