Shadow AI Krizi Kapıda: 5 Bin Uygulama Veri Güvenliğini Tehdit Ediyor!

Kurumsal güvenlik stratejilerinin büyük bir kısmı sunucuları, uç noktaları ve bulut hesaplarını korumak üzere tasarlanmış olsa da, modern yazılım geliştirme trendleri yeni bir güvenlik açığı yaratıyor. Bir ürün yöneticisinin hafta sonu boyunca "vibe coding" araçlarını kullanarak hazırladığı, canlı bir veritabanına bağlı ve Google tarafından indekslenen basit bir müşteri formunun, geleneksel güvenlik duvarlarını nasıl kolayca aşabildiği ortaya çıktı. Bu güvenlik boşluğu, artık ciddi bir risk maliyetiyle karşı karşıya.

İsrailli siber güvenlik firması RedAccess tarafından yapılan yeni araştırmalar, durumun vahametini rakamlarla ortaya koyuyor. Yapılan incelemelerde; Lovable, Base44 ve Replit gibi "vibe coding" araçları ile Netlify platformu kullanılarak oluşturulmuş, internete açık 380.000 varlık (uygulama, veritabanı ve altyapı) tespit edildi. Bu varlıkların yaklaşık %1,3'lük kısmını oluşturan 5.000 adedinin ise kritik kurumsal bilgiler içerdiği belirlendi. RedAccess CEO'su Dor Zvi, bu açıkları müşterileri için "gölge yapay zeka" (shadow AI) araştırması yaparken keşfettiklerini belirtti. Söz konusu bulgular Axios ve Wired tarafından da bağımsız olarak doğrulandı.

Doğrulanan veri sızıntıları arasında oldukça kritik bilgiler yer alıyor: Bir nakliye şirketine ait gemi ve liman detayları, İngiltere'deki aktif klinik araştırmaların listesi, bir İngiliz kabine tedarikçisine ait sansürlenmemiş müşteri hizmetleri konuşmaları ve bir Brezilya bankasının iç finansal verileri internete açık halde bulundu. Ayrıca, çocuk bakım merkezlerindeki hasta görüşmeleri, hastane doktor-hasta özetleri, güvenlik şirketlerine ait olay müdahale kayıtları ve reklam satın alma stratejileri gibi hassas verilerin de ifşa olduğu görüldü.

Sızdırılan verilerin niteliği göz önüne alındığında; sağlık ve finans sektöründeki bu açıkların HIPAA, UK GDPR veya Brezilya'nın LGPD gibi katı veri koruma yasaları kapsamında ciddi yasal yaptırımları tetikleyebileceği belirtiliyor. Öte yandan araştırma, Lovable kullanılarak Bank of America, FedEx ve McDonald’s gibi dev markaları taklit eden phishing (oltalama) sitelerinin kurulduğunu da ortaya çıkardı. Lovable, söz konusu sahte siteleri incelemeye ve kaldırmaya başladığını duyurdu.

Uzmanlar, sorunun temel kaynağının platformların varsayılan ayarlarında yattığını vurguluyor. Birçok "vibe coding" platformunda gizlilik ayarları, kullanıcılar tarafından manuel olarak "özel" (private) konumuna getirilmediği sürece uygulamaları doğrudan halka açık hale getiriyor.