Friend.tech’te Gizlilik İhlali: 101.000 Kullanıcının Cüzdan Adresleri ve Kullanıcı Adları Açığa Çıktı

Friend.tech, 101.000’den fazla kişinin hassas bilgilerinin izinsiz olarak ifşa edilmesi sebebiyle ciddi bir gizlilik ihlaline uğradı.

Ünlü DeFi projesi Yearn Finance’in başlıca katkıda bulunan isimlerinden Banteg, GitHub’da herkese açık bir veri deposu paylaştı ve bu depo, Friend.tech platformundaki 101.000’den fazla kullanıcının kritik bilgilerini içeriyor.

Açığa çıkan bu bilgiler, Base platformundaki cüzdan adresleri ile ilgili Twitter kullanıcı adlarını kapsıyor.

Banteg, Pazartesi günü attığı bir tweet’te “101.183 kişi, Friend.tech’e kendisi adına transfer yapabilme yetkisi verdi; sızdırılan veritabanı da bu bilgiyi teyit ediyor.” ifadesini kullandı.

101,183 people has given friend tech access to posting as them, leaked db indicateshttps://t.co/yYYDqzUoON

— banteg (@bantg) August 21, 2023

Fakat gizlilik ihlalinin boyutu bu kadarla sınırlı değil. Banteg, Friend.tech’in izinlere dair endişe verici bir durumu da dile getirdi.

Bu kullanıcıların, Friend.tech’e kendi adlarına transfer yapabilme yetkisi tanımış olabilecekleri, belki de izinlerin tam kapsamını tam olarak fark edemeden ya da açık bir onay olmadan bu yetkiyi vermiş olabilecekleri düşünülüyor.

Bu gizlilik ihlali, Spot On Chain analistlerinin Friend.tech’in API’sinin bilgileri yanlışlıkla “sızdırdığını” fark etmeleriyle meydana geldi.

Bu API sayesinde, kullanıcıların oluşturduğu cüzdanları, bu cüzdanlara ait Twitter kullanıcı adları ile birlikte görmek mümkündü.

11 Ağustos’ta beta versiyonuyla kullanıma sunulan Friend.tech, kullanıcılara sosyal ağlarını tokenleştirme olanağı sunuyor, böylece bağlantıları “hisseler” şeklinde alıp satabiliyorlar.

Friend.tech, gerçekleştirilen işlemler üzerinden %5 komisyon alarak gelir elde ediyor. Bu proje, Coinbase‘in katman-2 ağı olan Base üzerinde geliştirildi.

Friend.tech, Bilgilerin Zaten Herkese Açık Olduğunu Söyledi

Friend.tech, yaşanan bu ihlal konusunda tepki göstererek durumu hafife almaya çalıştı.

Kendi API’leri üzerinden alınan bu bilginin zaten kamuya açık olduğunu belirterek, bu bilgilere erişimin, kamuya açık bir Twitter beslemesini kontrol etmek kadar masum olduğunu savundular.

Proje, “Kamuya açık API’miz, sadece kamuya açık cüzdan adresleri ile kamuya açık Twitter kullanıcı adları arasındaki ilişkiyi gösteriyor.” şeklinde bir tweet paylaştı.

Friend.tech’in gizlilikle ilgili yaklaşımı, platformun son dönemde dikkat çekici bir büyüme kaydetmesiyle daha da önem kazandı; yüksek profilli kayıtlar aldı ve son 24 saatte 1,42 milyon doların üzerinde gelir elde etti.

Bu etkileyici büyüme, Friend.tech’i kullanıcıların ödediği ücretler bazında en üst sıralardaki kripto projeleri arasına taşıdı.

Projede anahtar rol oynayan Racer, daha önce TweetDAO ve Stealcam gibi sosyal medya projeleri üzerinde çalıştı ve her iki proje de non-fungible tokenlara (NFT) dayalıydı.

Friend.tech ile birlikte Racer, ticaret komisyonlarından telif hakkı geliri elde etmeyi ve bu sayede büyük bir takipçisi olan kripto influencerları platforma çekmeyi hedefliyor.

Ayrıca, bu platform, Web3 projeleriyle, risk sermayedarları ve kripto sektöründeki önemli isimler arasındaki bağlantıları güçlendirme amacını taşıyor.