Bir dalış eğitmeni ve platform mühendisi olan yazar, Kosta Rika'daki bir dalış gezisi sırasında, kendisinin de sigortalı olduğu büyük bir dalış sigortacısının üye portalında kritik bir güvenlik açığı keşfetti. Bu açık o kadar temel ve kolaydı ki, daha önce istismar edilmemiş olmasına şaşırdı. Yazar, bu olayın doğru olanı yapmaya çalışırken karşılaşılan zorlukları gözler önüne serdiğini belirtiyor.
Açık, portalın kullanıcı kayıt sürecindeki zayıflıklardan kaynaklanıyordu. Dalış eğitmenleri, öğrencilerini sigortalamak için portal üzerinden kaydederken, sistem öğrencilere ardışık sayısal kullanıcı kimlikleri (ID'ler) atıyordu. Daha da kötüsü, her yeni hesap, ilk girişte değiştirilmesi zorunlu olmayan statik bir varsayılan şifre ile oluşturuluyordu. Bu durum, birçok kullanıcının, özellikle de eğitmenleri tarafından hesapları oluşturulan öğrencilerin şifrelerini asla değiştirmemesiyle birleşince büyük bir risk oluşturdu. Saldırganlar, ardışık kullanıcı ID'lerini tahmin edip varsayılan şifreyi kullanarak kolayca herhangi bir kullanıcının tam profiline (ad, adres, telefon numarası, e-posta, doğum tarihi) erişebiliyordu. Sistemde hız sınırlaması, hesap kilitleme veya çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik önlemleri bulunmuyordu.
Yazar, açığı 28 Nisan 2025'te standart 30 günlük bir ambargo süresiyle bildirdi. Ambargo 28 Mayıs 2025'te sona ermesine rağmen, sorunun tamamen giderilmesi ve etkilenen kullanıcıların bilgilendirilmesi için kuruluşa yeterli zaman tanımak amacıyla yayınlamayı sekiz aydan fazla erteledi. Açık giderilmiş olsa da, yazar etkilenen kullanıcıların bilgilendirildiğine dair henüz bir onay almadığını belirtiyor ve bu konuda açıklama bekliyor.
Basit görünen güvenlik açıklarının bile kişisel verilerin gizliliği için büyük riskler taşıdığını ve bu tür durumların sorumluluk sahibi bir şekilde ele alınmasının zorluklarını ortaya koyuyor.