- 2024’ün sonuna yaklaşıyoruz. Bu yıl yakın tarihin en büyük, en zararlı veri ihlallerinden bazılarının yaşandığı bir yıl olarak tarihe geçecek. Ve bu saldırılardan bazılarının daha da kötü olamayacağını düşündüğünüz anda, daha da kötüleşiyorlar.
- Ülkemizde bankaların, alışveriş sitelerinin ve hatta devletin verilerinin çalındığı bir yılı geride bırakırken, veri ihlalleri konusunda dünya da oldukça hareketli bir yıla vedalaşmaya hazırlanıyor.
Müşterilerin kişisel bilgilerinin toplandığı, çalındığı ve çevrimiçi olarak yayınlandığı devasa depolardan, Amerika Birleşik Devletleri’ndeki, Avurtralya’daki, Türkiye’deki çoğu insanı kapsayan tıbbi verilerin çalınmasına kadar, 2024’ün en kötü veri ihlalleri 1 milyar çalınan kaydı aştı ve artıyor. Bu ihlaller yalnızca verileri geri alınamaz şekilde ifşa olan kişileri etkilemekle kalmıyor, aynı zamanda kötü niyetli siber saldırılarından kâr eden suçluları da cesaretlendiriyor.
Bu yazımız ile sizi, 2024’ün en büyük güvenlik olaylarından bazılarının nasıl yaşandığına, etkilerine ve bazı durumlarda nasıl durdurulabileceklerine bakmak için çok da uzak olmayan geçmişe doğru bir yolculuğa çıkarıyoruz.
AT&T’nin veri ihlalleri müşterilerinin “neredeyse tamamını” ve müşteri olmayan çok daha fazla kişiyi etkiliyor
AT&T için 2024 veri güvenliği açısından çok kötü bir yıl oldu. Dünyanın en büyük operatörü olan telekom devi sadece birkaç ay arayla bir değil iki ayrı veri ihlalini doğruladı.
Temmuz ayında AT&T, siber suçluların 2022 yılında altı aylık bir süre boyunca ve bazı durumlarda daha uzun bir süre boyunca müşterilerinin “neredeyse tamamının” ya da yaklaşık 110 milyon kişinin telefon numaralarını ve arama kayıtlarını içeren bir veri önbelleğini çaldığını söyledi. Veriler doğrudan AT&T’nin sistemlerinden değil, veri devi Snowflake ile olan bir hesabından çalınmıştı (daha sonra bu konuya değineceğiz).
Çalınan AT&T verileri kamuya açık olmasa da (ve bir rapor AT&T’nin bilgisayar korsanlarına çalınan verileri silmeleri için fidye ödediğini öne sürüyor) ve verilerin kendisi aramaların veya kısa mesajların içeriğini içermese de, “meta veriler” yine de kimin kimi ne zaman aradığını ortaya koyuyor ve bazı durumlarda veriler yaklaşık konumları çıkarmak için kullanılabiliyor. Daha da kötüsü, veriler bu süre zarfında AT&T müşterileri tarafından aranan müşteri olmayan kişilerin telefon numaralarını da içeriyor. Bu verilerin kamuya açık hale gelmesi, aile içi şiddet mağdurları gibi yüksek risk altındaki bireyler için tehlikeli olabilir.
Bu AT&T’nin bu yılki ikinci veri ihlali oldu. Mart ayının başlarında, bir veri ihlali komisyoncusu, 73 milyon müşteri kaydının tam bir önbelleğini herkesin görebilmesi için bilinen bir siber suç forumuna çevrimiçi olarak bıraktı; bu, çok daha küçük bir örneğin çevrimiçi olarak gösterilmesinden yaklaşık üç yıl sonra gerçekleşti.
Yayınlanan veriler müşterilerin isim, telefon numarası ve posta adresi gibi kişisel bilgilerini içeriyordu ve bazı müşteriler verilerinin doğru olduğunu teyit etti.
Ancak bir güvenlik araştırmacısı, açığa çıkan verilerin bir müşterinin AT&T hesabına erişmek için kullanılan şifreli parolaları içerdiğini keşfedene kadar telekom devi harekete geçmedi. Güvenlik araştırmacısı yaptığı açıklamada şifreli parolaların kolayca çözülebileceğini ve yaklaşık 7,6 milyon mevcut AT&T müşteri hesabını ele geçirilme riskiyle karşı karşıya bıraktığını söyledi. AT&T, müşterilerinin hesap şifrelerini bu bildirimin ardından zorla sıfırladı.
Büyük bir gizem devam ediyor: AT&T hala verilerin nasıl sızdığını ya da nereden geldiğini bilmiyor.
Change Healthcare bilgisayar korsanları Amerika’daki milyonlarca insanın tıbbi verilerini çaldı
2022 yılında ABD Adalet Bakanlığı, sağlık sigortası devi UnitedHealth Group’un sağlık teknolojisi devi Change Healthcare’i satın alma girişimini engellemek için dava açtı ve anlaşmanın sağlık hizmetleri holdingine her yıl “tüm Amerikalıların sağlık sigortası taleplerinin yaklaşık yarısına” geniş erişim sağlayacağından korktu. Anlaşmayı engelleme teklifi nihayetinde başarısız oldu. İki yıl sonra ise çok daha kötü bir şey oldu: Change Healthcare üretken bir fidye yazılımı çetesi tarafından saldırıya uğradı; şirketin kritik sistemlerinden biri çok faktörlü kimlik doğrulama ile korunmadığı için hassas sağlık verilerinden oluşan devasa bankaları çalındı.
Siber saldırının neden olduğu uzun kesinti süresi haftalarca sürmüş ve Amerika Birleşik Devletleri’ndeki hastanelerde, eczanelerde ve sağlık hizmeti uygulamalarında yaygın kesintilere neden olmuştu. Ancak veri ihlalinin sonuçları henüz tam olarak ortaya çıkmadı, ancak etkilenenler için sonuçların geri döndürülemez olması muhtemel. UnitedHealth, bir kopyasını elde etmek için bilgisayar korsanlarına para ödediği çalıntı verilerin, Amerika Birleşik Devletleri’ndeki insanların “önemli bir kısmının” kişisel, tıbbi ve fatura bilgilerini içerdiğini söylüyor.
UnitedHealth, ihlalden kaç kişinin etkilendiğine dair henüz bir sayı vermedi. Sağlık devinin CEO’su Andrew Witty, milletvekillerine ihlalin Amerikalıların yaklaşık üçte birini ve potansiyel olarak daha fazlasını etkileyebileceğini söyledi. Şimdilik ABD’de kaç yüz milyon insanın etkilendiği merak konusu.
Synnovis fidye yazılımı saldırısı Londra’daki hastanelerde yaygın kesintilere yol açtı
Birleşik Krallık’ın başkentindeki hastaneler ve sağlık hizmetleri için kan ve doku testleri yapan Birleşik Krallık patoloji laboratuvarı Synnovis’e Haziran ayında yapılan siber saldırı, hasta hizmetlerinde haftalarca süren yaygın bir aksamaya neden oldu. Laboratuvara bağımlı olan yerel Ulusal Sağlık Hizmeti kuruluşları, saldırının ardından binlerce operasyon ve prosedürü erteleyerek Birleşik Krallık sağlık sektörü genelinde kritik bir olay ilan edilmesine yol açtı.
Uzun yıllar yıl öncesine dayanan yaklaşık 300 milyon hasta etkileşimiyle ilgili verilerin çalındığı siber saldırıdan Rusya merkezli bir fidye yazılımı çetesi sorumlu tutuldu. Change Healthcare’deki veri ihlalinde olduğu gibi, etkilenen kişiler için sonuçların önemli ve hayat boyu kalıcı olması muhtemel.
Verilerin bir kısmı, laboratuvarı fidye ödemeye zorlamak amacıyla zaten çevrimiçi olarak yayınlanmıştı. Synnovis’in bilgisayar korsanlarının 50 milyon dolarlık fidyesini ödemeyi reddettiği, çetenin saldırıdan kar elde etmesini engellediği ancak İngiltere hükümetini bilgisayar korsanlarının milyonlarca sağlık kaydını internette yayınlaması durumunda bir plan yapmak zorunda bıraktığı bildirildi.
Kesintilerden etkilenen Londra’daki beş hastaneyi işleten NHS tröstlerinden birinin, Synnovis’e yönelik Haziran ayındaki siber saldırıya kadar geçen yıllarda Birleşik Krallık sağlık hizmetlerinin gerektirdiği veri güvenliği standartlarını karşılamadığı bildirildi.
Snowflake saldırısında Ticketmaster’ın 560 milyon kaydının çalındığı iddia ediliyor
Bulut veri devi Snowflake’ten yapılan bir dizi veri hırsızlığı, kurumsal müşterilerinden çalınan büyük miktarda veri sayesinde hızla yılın en büyük ihlallerinden birine dönüştü.
Siber suçlular, işverenlerinin Snowflake ortamlarına erişimi olan veri mühendislerinin çalıntı kimlik bilgilerini kullanarak Ticketmaster’dan 560 milyon kayıt, Advance Auto Parts’tan 79 milyon kayıt ve TEG’den yaklaşık 30 milyon kayıt dahil olmak üzere dünyanın en büyük şirketlerinden bazılarının yüz milyonlarca müşteri verisini çaldı. Snowflake ise müşterilerinin çalınan ya da tekrar kullanılan şifrelere dayanan izinsiz girişlere karşı koruma sağlayan güvenlik özelliğini kullanmasını zorunlu tutmuyor.
Olay müdahale firması Mandiant, yaklaşık 165 Snowflake müşterisinin hesaplarından veri çalındığını ve bazı durumlarda “önemli miktarda müşteri verisi” olduğunu söyledi. Neiman Marcus ve Santander Bank’tan on binlerce çalışan kaydı ve Los Angeles Unified School District’teki milyonlarca öğrenci kaydını da içeren 165 şirketten sadece birkaçı şu ana kadar ortamlarının tehlikeye atıldığını doğruladı.
100 TL’ye Türkiye Cumhuriyeti Vatandaşları Kimlik Bilgileri Satışa Çıktı!
Hatırlayacağınız gibi ülkemizde ikamet eden herkesin kişisel bilgilerinin dark web’de satıldığı iddiasının ortaya atılmasının ardından Ulaştırma Bakanı Uraloğlu’na veri ihlali olup olmadığı sorusu sorulmuştu. Bakan ise bu soruya “Maalesef evet, bu önlemedi” diyerek cevap vermişti.
BirGün Gazetesi’nden İsmail Arı’nın haberi ile Eylül ayında ortaya çıkan durum ile veri ihlalinin belirlenmesinin ardından Bakanlığın Google’a yazı yazdığı öğrenildi. Bakanlık, ihlal edilen verilerin Google Drive’da depolandığının tespiti ve bu sebeple de ilgili Drive’a erişimin durdurulmasının talep etmesi ile gündeme geldi.
Google bilgi şeffaflığı çerçevesinde durumu basın ile paylaşmış ve ilgili dosyaların kaldırıldığını duyurmuştu. Fakat bu engelleme verilerin satışını durdurmadı aksine gündeme gelmesine ve alıcı bulmasına olanak sundu. Haftalık, Aylık ve yıllık premium paketler ile örneğin ayda 100₺, 200₺ gibi ücretlerle vatandaşların aşı, ilaç, muayene, sigorta verilerine dahi ulaşabilen web siteleri gündeme geldi.
İstanbul Barosu Bilişim Hukuku Merkezi kurucusu avukat Gökhan Ahi, ‘sorunun ulusal güvenlik meselesi haline de geldiğini’ söyledi. Ahi, Cumhuriyet Gazetesi’ne verdiği demeçte şu ifadeleri kullandı:
“Ortada çok ciddi bir sızma, sızdırma veya sızmaya göz yumma eylemleri olduğunu düşünüyorum. Bireylerin hassas verilerinin dahi sızması, veri ihlalinin ne kadar büyük olduğunu gösteriyor. Her ne kadar yurttaşların kişisel veriler ile ilgili hakları Anayasa, Türk Ceza Kanunu ve Kişisel Verilerin Korunması Hakkında Kanun ile korunuyor olsa da, bu ihlaller sonucunda artık hiçbir yasa hükmü yurttaşları korumaya yardımcı olamaz. Zira bu verilerin ne kadar çoğaltıldığını ve nerelere kopyalandığını bilemeyiz.”
(Dis)honorable mentions Cencora bir milyondan fazla kişiye verilerini kaybettiğini bildirdi
ABD’li ilaç devi Cencora, ilaç üreticileriyle kurduğu ortaklıklar aracılığıyla elde ettiği hastaların sağlık verilerinin ele geçirilmesini içeren Şubat ayı veri ihlalini açıkladı. Cencora kaç kişinin etkilendiğini söylemeyi ısrarla reddetti, ancak yapılan bir sayım şu ana kadar bir milyondan fazla kişinin bilgilendirildiğini gösteriyor. Cencora, bugüne kadar 18 milyondan fazla hastaya hizmet verdiğini söylüyor.
MediSecure veri ihlali Avustralya’nın yarısını etkiledi
Avustralya’da yaklaşık 13 milyon kişinin -ülke nüfusunun yaklaşık yarısı- kişisel ve sağlık verileri Nisan ayında reçete sağlayıcısı MediSecure’a yapılan bir fidye yazılımı saldırısında çalındı. Çoğu Avustralyalı için 2023’ün sonlarına kadar reçete dağıtan MediSecure, müşteri verilerinin toplu olarak çalınmasından kısa bir süre sonra iflasını ilan etti.
Kaiser milyonlarca hastaya ait sağlık verilerini reklamcılarla paylaştı
ABD’li sağlık sigortası devi Kaiser, Nisan ayında 13,4 milyon hastanın özel sağlık bilgilerini, özellikle de teşhisler ve ilaçlarla ilgili web sitesi arama terimlerini teknoloji şirketleri ve reklamcılarla yanlışlıkla paylaştıktan sonra bir veri ihlali olduğunu açıkladı. Kaiser, web sitesi analizleri için izleme kodlarını kullandığını söyledi. Sağlık sigortası sağlayıcısı, Cerebral, Monument ve Tempest gibi diğer bazı tele-sağlık girişimlerinin de reklamcılarla veri paylaştıklarını itiraf etmelerinin ardından olayı açıkladı.
USPS posta adreslerini teknoloji devleriyle de paylaştı
Sıra ABD Posta Servisi’ne geldi ve şirketler tarafından sağlanan benzer bir izleme kodunu kullanarak oturum açan kullanıcıların posta adreslerini Meta, LinkedIn ve Snap gibi reklamcılarla paylaşırken yakalandı. Temmuz ayında posta servisine uygunsuz veri paylaşımını bildirilmesinin ardından USPS izleme kodunu web sitesinden kaldırdı, ancak ajans kaç kişinin verilerinin toplandığını söylemedi. USPS’nin Mart 2024 itibarıyla 62 milyondan fazla Bilgilendirilmiş Teslimat kullanıcısı bulunmakta.
Evolve Bank veri ihlali fintech ve startup müşterilerini etkiledi
Evolve Bank’ı hedef alan bir fidye yazılımı saldırısı, Temmuz ayında 7,6 milyondan fazla kişinin kişisel bilgilerinin siber suçlular tarafından çalındığını gördü. Evolve, Affirm ve Mercury gibi çoğunlukla fintech şirketlerine ve startup’lara hizmet veren bir hizmet olarak bankacılık devi. Sonuç olarak, veri ihlalinden haberdar edilen kişilerin birçoğu, siber saldırıdan önce Evolve Bank’ı hiç duymamış, hatta firmayla bir ilişkisi bile olmamıştı.
Ulusal Kamu Verileri milyonlarca SSN’nin çalınmasının ardından iflas etti
Veri simsarı National Public Data’nın arkasındaki şirket, güvenlik araştırmacıları tarafından yapılan çeşitli analizlere göre, yaklaşık 270 milyon kişiyi etkileyen yaklaşık üç milyar kaydı açığa çıkaran büyük bir veri ihlalinden aylar sonra, Ekim ayında 11. Bölüm iflas koruması için başvuruda bulundu. Veri komisyoncusu, ödeme yapan müşterilerinin isimler, doğum tarihleri, e-posta ve posta adresleri, telefon numaraları ve Sosyal Güvenlik numaralarından oluşan geniş veri tabanlarına erişmesine izin veriyordu (verilerin tamamı doğru olmasa bile). Şirket, toplu davalar ve eyalet ve federal düzenleyicilerin artan sorumlulukları karşısında artık gelir elde edemediği için iflas başvurusunda bulunmak zorunda kaldığını açıkladı.
Derleyen: Okan Köroğlu