BİLİM & TEKNOLOJİ

2019’un en büyük veri hırsızlıkları: Kötünün de kötüsü

İnternet avantajlarının yanında yeni tehlikeler getirmeye devam ediyor. Kullanıcı hataları kadar şirketlerin sistemlerinde olan açıklar nedeniyle veriler çalınıyor, şifreler kırılıyor. dokuz8HABER, 2019’da milyonlarca, hatta milyarlarca insanın maruz kaldığı en büyük 4 veri ihlalini listeledi.

2019’UN EN BÜYÜK VERİ İHLALLERİ

Çevrimiçi dünyayı güvenli bir yer haline getirmek için uzun bir yolumuz olduğunu birbirimize hatırlatmamız şart. “Başka bir gün, başka bir veri ihlali” maalesef sadece bir klişe değil, bir gerçek. Ancak tüm veri ihlalleri aynı değil. Bazıları diğerlerinden daha kötü olabiliyor. 2019 yılı da en kötü veri ihlallerinden payını aldı.

Elbette, veri ihlalleri doğrudan hackerlar ve dolandırıcılardan kaynaklı. Ancak gerçek şu ki, aşağıda özetlenenler de dahil olmak üzere 2019’daki çoğu veri ihlali, önlemler alınarak engellenebilirdi. Bir araba hırsızlığında suçu işleyenler doğrudan sorumlu olarak görülebilir, ancak mal sahibi kapıları açık bıraktıysa veya pencereler kolayca açıldıysa, “Ne düşünüyordun?” diye sormak gerekiyor.

Verifications.io, First American Financial, Collection #1 ve Facebook, saldırılar nedeniyle en büyük veri ihlalinin yaşandığı siteler oldu.

2019’da (şimdiye kadar) etkilenen insan sayısı bakımından en kötü veri ihlalleri şöyle:

VERIFICATIONS.IO İHLALİ 2 MİLYAR İNSANI ETKİLEDİ

Site: Verifications.io
Rapor tarihi: 7 Mart 2019
Etki: Dünya çapında 800 milyon ila 2 milyar kayıt
Güvenlik hatası: Kimlik doğrulama gerekmemesi

Security Discovery araştırmacısı Bob Diachenko’ya göre, bir e-posta doğrulama servisi olan Verifications.io büyük bir kayıt veritabanını açık bir şekilde bıraktı. Daichenko, 7 Mart tarihli bir blog yazısında, 25 Şubat’ta, bir “parola korumalı olmayan” ve 808 milyondan fazla kayıt içeren 150 GB büyüklüğünde MongoDB veritabanı bulduğunu bildirdi. Verifications.io’ya bilgi gönderip, hırsızlığı şirkete bildirdiğinde, site çevrim dışı bırakıldı.

Diachenko, Have I Been Pwned web sitesini işleten etik korsan Troy Hunt ile de bağlantılı. Veritabanını ve hırsızlığı analiz ettikten sonra, ele geçirilen bilgilerin kredi kartı bilgilerini veya şifrelerini içermese de; isimlerini, iş ünvanlarını, fiziksel adreslerini, telefon numaralarını, e-posta adreslerini, doğum tarihlerini, cinsiyetlerini, işverenlerini, coğrafi konumlarını, IP adreslerini içerdiğini açıkladı. Ancak bir gün sonra, İngiltere merkezli DynaRisk, SC Media‘ya verdiği demeçte, veri ihlalinin 2 milyardan fazla kayıtta (neredeyse üç kat daha büyük) olduğunu söyledi. DynaRisk ayrıca veri ihlalinin daha fazla bilgi içerdiğini bildirdi: kredi puanları, faiz oranları, kişisel ipotek tutarları ve Facebook, Instagram ve LinkedIn’deki sosyal medya profillerine bağlı e-postalar.

FIRST AMERICAN İHLALİ 885 MİLYON DOSYAYI AÇIĞA ÇIKARDI

Site: First American Financial
Rapor tarihi: 25 Mayıs 2019
Etki: İpotek anlaşmalarıyla ilgili yaklaşık 885 milyon dosya
Güvenlik hatası: Kimlik doğrulama kontrolü eksikliği

Fortune 500’e bağlı bir finansal hizmetler şirketi olan First American Financial Corp., 2003 yılına kadar uzanan yaklaşık 885 milyon işlem kaydının açığa çıkmasına neden oldu. Bu güvenlik açığı ilk olarak Mayıs ayında güvenlik blogu yazarı Brian Krebs   tarafından bildirildi.

Krebs, şirketin mail yoluyla belge gönderdiği herkesin, belge linkindeki tek bir rakamı değiştirerek kayıtlara erişebileceğini doğruladı. Buna göre, sayısallaştırılmış kayıtlar, banka hesap numaraları ve açıklamaları, ipotek ve vergi kayıtları, sosyal güvenlik numaraları, banka işlem fişleri ve ehliyetlerin fotoğrafları çalınan veriler arasında yer aldı. First American, Krebs firmayı bilgilendirdikten sonra web sitesini kapattı.

First American bu güvenlik açığını “tasarım hatası” olarak nitelendirdi. Krebs, verilerin toplu olarak toplandığına dair hiçbir kanıt olmadığını belirtti. Bununla birlikte, “emlakçıları, acenteleri, şirketleri kandırmak amacıyla bir kimliğe bürünen sahtekarlar için adeta bir altın madeni olduğunu” söyledi.

Collection #1, 773 MİLYON E-POSTA ADRESİ VE 22 MİLYONDAN FAZLA ŞİFREYİ İÇERİYORDU

Ortam: Collection # 1
Bildirilme tarihi: 17 Ocak 2019
Etki: Yaklaşık 773 milyon benzersiz e-posta adresi ve 22 milyondan fazla benzersiz şifre
Güvenlik hatası: Çoklu ve çeşitli

Troy Hunt tarafından Have I Been Pwned web sitesinde yayınlanan bu devasa ve eşsiz koleksiyon, MEGA adında bir bulut depolama hizmetinde bulunuyordu.

Microsoft Bölge Direktörü Hunt, “birden fazla kişi ulaştıktan” sonra blogunda MEGA’ya yönlendirdi. Hunt, yazdığı sırada, verilerin MEGA’dan kaldırıldığını söyledi. Koleksiyonun 12.000’den fazla ayrı dosya ve 87 GB’dan fazla veri içerdiğini söyledi.

Hunt, “Kişilerimden biri beni verinin sosyalleştirildiği popüler bir bilgisayar korsanlığı forumuna yönlendirdi” dedi, Hunt’ göre, “burada kök klasör bunu ‘Collection # 1’ olarak tanımladı”. Hunt’a göre, listelenen tüm veri ihlallerinin kaynağı doğrulanmadı, ancak, “kendi kişisel verilerim orada ve doğru; doğru e-posta adresi ve yıllar önce kullandığım bir şifre.” dedi.

Ulusal Siber Güvenlik Farkındalık Ayı‘nın sonunda yapılan röportaja göre, bilgisayar korsanları Synopsys CSO Deirdre Hanford tarafından belirtilen verileri kullanıyor.

Güvenlik araştırmacıları, 30 Ocak 2019’a kadar Collection # 2 ile Collection #5 arasındaki benzer veri kümelerinin, karanlık ağda satılmakta olduğunu gözlemledi. Veri koleksiyonları, toplam 25 milyar e-posta / şifre kaydına sahip 845 gigabayttan fazla veri içeriyordu. Hasso Plattner Enstitüsü’ndeki güvenlik araştırmacıları, #2-#5 numaralı koleksiyonların, kopyaları çıkardıktan sonra, Koleksiyon # 1’den yaklaşık üç kat daha fazla veriye sahip olduğunu belirtti.

FACEBOOK VERİ İHLALİ: 540 MİLYONDAN FAZLA KULLANICI KİMLİĞİ AÇIĞA ÇIKTI

Site: Facebook.com
Rapor tarihi: 3 Nisan 2019
Etki: 540 milyondan fazla kayıt gösterildi
Güvenlik arızası: Üçüncü taraflarca barındırılan halka açık sunucu

Güvenlik firması Upguard Cyber ​​Risk, 10 Ocak 2019’da halka açık bir sunucuda 540 milyondan fazla Facebook kullanıcı kimliği, hesap adı, beğenisi ve yorumu keşfettiğini ilk olarak Meksika merkezli dijital medya şirketi Cultura Colectiva’ya  bildirdi. Upguard, 14 Ocak’ta bir bildirim daha gönderdi.

Şirket daha sonra 28 Ocak’ta Amazon Web Servisleri’ne bilgi verdi, çünkü veriler bir Amazon S3 bulut servisinde depolanıyordu. Amazon, 1 Şubat’ta Cultura Colectiva’yı bilgilendirdiğini söyledi.

30 Ekim’de bir açıklama yayınlanan Upguard, sosyal medya devi üçüncü tarafların erişimini sınırlamaya çalışırken, “Facebook kullanıcıları hakkındaki veriler, Facebook’un bugün kontrol edebileceğinin sınırlarının çok ötesine yayıldı.” dedi. Şirket, aynı verinin Cultura’ya ilk bildirimde bulunulduktan 11 ay sonra “bu güne kadar hiçbir yanıt alınmadığını” ekledi.

Türkiye Kişisel Verileri Koruma Kurulu KVVK

  • Facebook’un Kanun’un 12. maddesinin 1. fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı gerekçesiyle 1.150.000 TL idari para cezasının ve
  • 25 Eylül 2018 tarihinde tespit edilen veri ihlalinin Facebook tarafından Kanun’un 12. maddesinin 5. fıkrası uyarınca en kısa sürede bildirilmediği gerekçesiyle 450.000 TL idari para cezasının ödenmesine karar verdi.

SONUÇ

Her ne kadar bunlar gibi server’lardan veri çalınma olayları, kimlik hırsızlığı veya diğer ciddi sonuçlara yol açsa da, çoğu durumda kalıcı hasar yoktur.

Veri ihlali nedeniyle doğrudan ve dolaylı değer kaybı hakkında bilgi edinmek oldukça zordur. Veri ihlallerinin etkisini değerlendirmek için yaygın bir yaklaşım, olaya yönelik piyasa tepkisini incelemek, ekonomik etkisini gözlemlemek olacaktır. Öte yandan, büyük kurumların içindeki büyük veri hırsızlıkları ve korsanlık faaliyetleri, kullanıcılar için zarar yaratacaktır.