veri sızıntısı
Kişisel veri sızıntıları her gün gerçekleşir. Bazıları haberlere konu olurken bazılarından kimsenin haberi bile olmaz. Bu yıl içinde, sadece Amerika Birleşik Devletleri’nde 163 milyon kullanıcı kaydı ele geçirildi (Kimlik Hırsızlığı Kaynak Merkezi’nden alınan verilere göre). Bu rakam, geçen yıl boyunca ele geçirilen toplam kullanıcı kaydının dört katı.
Henüz yıl sonuna ulaşmadık ama sizlere 2017’nin başından bu yana, daha doğrusu ilk üç çeyreğinde, kaydedilen en büyük beş sızıntıdan bahsetmek için beklemek istemedik. Aslında en büyük sızıntılardan bahsettiğimiz için liste Yahoo ve sızdırılan 3 milyar hesapla başlamalıydı. Ancak bu sızıntı 2013 yılında gerçekleşti. Ayrıca sızıntının kapsamı hakkındaki haberler Ekim ayına yani yılın dördüncü çeyreğine kadar basına yansımadı. Basına yansıyan haberler ise zaten bilinen bir güvenlik ihlali hakkındaki yeni gelişmelerden ibaretti.
5. Avanti Markets — 1,6 milyon hesap
Daha önce Avanti’yi duymamış olabilirsiniz ama muhtemelen iş yerinizin bu firmadan haberi vardır. Belki siz de otomat makinelerinden biraz atıştırmalık almış olabilirsiniz. Kurumsal kafeteryalar için atıştırmalık çözümleri tedarik eden firma, Temmuz ayında ödeme noktalarının bazılarında kötü amaçlı yazılım bulunduğunu duyurdu. Saldırganlar, bazı makinelere kredi kartı numaralarını, son kullanma tarihlerini ve CVV numaralarını çalmak için özel olarak tasarlanmış oldukça karmaşık bir kötü amaçlı yazılım bulaştırmayı başarmıştı. Bu yazılımı, cihazlara nasıl bulaştırdıkları henüz net değil. Ancak bazı terminallerde parmak izi sensörleri olduğu için saldırganlar müşterilerin biyometrik verilerine bile ulaşmayı başardı. Kiosk ayarlarındaki farklılıklar saldırganların tüm ağı ele geçirmesini engelledi. Ancak aynı nedenle şirket zararı tam olarak hesaplayamadı ve en az 1,6 milyon hesabın ele geçirildiğini duyurdu.
4. Election Systems & Software – 1,8 milyon hesap
BT uzmanları, Ağustos ayında açık bir Amazon Web Services (AWS) bulut deposu keşfetti. Bu veri deposu, oy verme makineleri ve seçim yönetimi sistemleri üreten Election Systems & Software (ES&S) şirketine ait verilerinin yedekleme kopyasını içeriyordu. Veriler, Illinois’de yaşayan kişilerin adlarını, adreslerini, doğum tarihlerini ve parti üyeliklerini içeren 2 milyon hesabı kapsamaktaydı. Normalde AWS kutularına ancak bir kimlik doğrulama işlemi sonrasında ulaşılabilir. Ancak bilinmeyen bir nedenle bu cihazın ayarları yanlış yapılandırılarak veriler halka açık hale gelmişti. Bu veri deposunu uzmanlardan önce başka birinin fark edip etmediğini bilmek imkânsız. Ancak 1,8 milyon kişinin bilgileri halka açık hale geldi ve bu olay sızıntı tanımına tam anlamıyla uyuyor.
3. Dow Jones & Company — 2,2 milyon hesap
Dow Jones olayı, veri arşivi içeren bir AWS deposuyla ilgili olması açısından bir önceki örneğe oldukça benziyor. Sorun yine cihazın ayarlarıyla ilgili olmasına rağmen bu sefer veriler herkese değil yalnızca AWS kullanıcılarına açık hale geldi. Bu olay, dünyadaki en büyük finansal bilgi servislerinden biri tarafından yayınlanan Wall Street Journal ve Barron’s gibi gazete ve dergilere abone olan milyonlarca kişinin kişisel ve finansal bilgilerini tehlikeye attı. Siber suçluların, bulut deposunun ayarları düzeltilmeden verilere erişim sağlayıp sağlayamadıkları ise bilinmiyor.
2. America’s Job Link Alliance — 5,5 milyon hesap
Büyük bir çevrimiçi iş arama motorunun Web uygulama yazılımındaki güvenlik açığı, adı bilinmeyen bir hackerın 10 farklı eyaletten milyonlarca kullanıcının ad, doğum tarihi ve sosyal güvenlik numarasını ele geçirmesine neden oldu. Bu hacker, Şubat ayında sistemde bir hesap oluşturdu ve sistemin açığını kullanarak 5,5 milyondan daha fazla hesaba erişim sağladı. Güvenlik ihlali iki hafta sonra fark edilerek kapatıldı. America’s Job Link Alliance, resmi basın açıklamasında Ekim 2016 tarihli güncellemenin bir parçası olan uygulamanın “hatalı yapılandırıldığını” söyleyerek güvenlik açığını açıkladı.
1. Equifax — 145,5 milyon hesap
Bu yılın en büyük olayı ise Equifax’deki veri sızıntısıydı. Şirket temsilcileri, Eylül ayında müşterilerin adlarını, sosyal güvenlik numaralarını, doğum tarihlerini ve adreslerini içeren veri tabanına hackerlar tarafından erişildiğini itiraf etti. Sızıntı, bir aydan daha uzun bir süre boyunca, Mayıs’ın ortalarından Temmuz’un sonlarına kadar, devam etti. Saldırganlar verilere ulaşmak için Apache Struts 2 altyapısındaki bir güvenlik açığını kullandı. Equifax’ın ilk değerlendirmelerine göre saldırı, 143 milyon kişinin verileri kapsıyordu ancak şirket daha sonra bu sayıyı 145,5 milyon olarak güncelledi. Saldırı sonucunda, birçok önemli verinin yanı sıra 209.000 kredi kartı numarası ve 182.000 kişinin kişisel verilerini içeren belgeler çalındı. Sızıntıya yol açan güvenlik açığı Oracle (Apache Struts’un geliştiricisi) tarafından Mart ayında kapatılmıştı. Ancak ABD’nin en büyük kredi raporlama şirketlerinden biri olan Equifax’ın, bu güncelleştirmeden iki ay sonra hâlâ güncellemeleri yüklemediği ortaya çıktı.
Bu beş veri sızıntısından şu dersi çıkarabiliriz: Bu sızıntıların en az dördünde (ilk vakanın nedeni henüz bilinmiyor) sızıntılar kesinlikle önlenebilirdi. Election Systems & Software ve Dow Jones & Company olaylarında hatalı sistem yapılandırması sonucunda bilgiler korunmasız bırakılmıştı. America’s Job Link Alliance, bir Web uygulamasının önceden bilinen bir güvenlik açığından dolayı zarar gördü. Equifax vakasında ise bir güvenlik açığı değil güncelleme konusunda gösterilen bir ihmalkârlık vardı. Yama zamanında yüklenmiş olsaydı güvenlik açığı kullanılmadan önce kapatılabilirdi. Kısacası, tüm bu sızıntılar BT altyapısının zamanında denetlenmesiyle engellenebilirdi. Sonuç olarak, bu denetim küçük veya büyük ölçekli her şirkette düzenli olarak yapılmalıdır.
İpuçları