Veri İhlalleri 101: Nasıl Olur, Ne Çalınır, Çalınan Bilgiler Nereye Gider?

Her ne kadar insanlar ve kurumlar veri sızıntısı haberlerine karşı duyarsız hale gelmiş olsalar da, kullanıcı verilerinin korunması konusu gündemdeki önemini koruyor. Hatta hem dünyada hem de ülkemizde devletler  bu konuya yönelik yeni regülasyonlar yürürlüğe koyarak bu konunun aslında azımsanmayacak kayıplara sebep olabileceğine dikkat çekiyor.

Avrupa Birliğinde GDPR (Genel Veri Koruma Düzenlemesi), ülkemizde ise KVKK ( Kişisel Verileri Koruma Kanunu) ile birlikte, şirketler artık sadece sistemlerinin ihlal edildiğini ya da veri sızıntısı olduğunu açıklamakla kalmıyor, aynı zamanda Avrupa Birliği (AB) vatandaşlarına ait verileri kaybetmeleri halinde yıllık cirosunun yüzde 4’üne ya da 20 milyon euro’ya varan para cezalarıyla karşı karşıya kalıyor.

Gizliliği ihlal edilen veriler, herkesin önem vermesi gereken bir konu. Sadece bu yıl, içinde Macy, Bloomingdale ve Reddit gibi büyük isimlerin de bulunduğu birçok şirket, sürekli artan siber saldırı kurbanları listesine katıldı. Veri ihlalleri, sadece saldırıya uğrayan kurumu değil, aynı zamanda kişisel bilgileri çalınan herkesi etkileyerek sayısız insanın özel kayıtlarının ve hassas bilgilerinin kaybına yol açabiliyor.

Veri İhlali Nedir?

Veri ihlali, siber suçlunun veri kaynağına sızarak hassas bilgileri dışarı aktarması ile gerçekleşiyor.. Bu bir bilgisayar veya kurum ağına fiziksel olarak erişilerek ya da kurum ağı güvenliğinin uzaktan erişilerek devre dışı bırakılması ile gerçekleşebilir. İkinci yolun genellikle şirketleri hedeflemek için kullanıdığını görüyoruz… Tipik bir veri ihlali şu şekilde gerçekleşir:

Araştırma: Siber suçlu şirketin güvenliğindeki zayıf noktayı arar. (İnsan, sistem ya da kurumsal ağ)

Saldırı: Siber suçlu ağ saldırısı ya da sosyal mühendislik kullanarak ilk teması gerçekleştirir.

Ağ Saldırısı / Sosyal Mühendislik: Siber suçlu, bir kuruluşun ağına sızmak için altyapı, sistem ve uygulama zayıflıklarını kullandığında kişi veya kurum ağına saldırı gerçekleşiyor. Sosyal mühendislik yönteminde de  şirket çalışanları, saldırgana şirket ağına erişebilmesi için ya kandırılıyor ya da tehdit ediliyor.. Burada kandırma yönteminde çalışanın, erişim bilgilerini vermesi ya da zararlı bir dosyayı açması için eposta yoluyla kandırıldığını görüyoruz.

Sızdırma: Siber suçlu bir bilgisayara erişim sağladığında,  ağa kendi yöntemlerini kullanarak saldırır. Böylece şirketin gizli verilerine erişim için kendine yol açmış olur. Saldırgan eriştiği verileri dışarı sızdırmayı başardığında, saldırı da başarılı bir şekilde tamamlanmış olur.

Tarihlerine Göre En Büyük Veri Kayıpları

Aşağıdaki tablo, bugüne kadar bildirilen en büyük 10 veri ihlali olayını gösteriyor:

Genellikle Hangi Tür Veriler Çalınır?

Çalınan veriler siber saldırı yapılan şirketin profiline göre değişiklik gösteriyor. Hangi tür şirketlere saldırı düzenleyeceğini, siber suçlunun amacı belirliyor. Siber suçlu farklı kaynaklardan farklı türdeki bilgilere ulaşılabilir. Aşağıda son dönemde gerçekleştirilen bazı başarılı olmuş saldırıları görebilirsiniz:

  •      Timehop (Temmuz 2018)

Mobil Uygulama Marketi

Start-up’ın 21 milyon kullanıcısının bilgileri, 4 Temmuz’da yapılan bir ağ saldırısı nedeniyle yaklaşık 2 saat boyunca her türlü saldırıya karşı açıkta kaldı.

  •     Reddit (Haziran 2018)

İçerik Forumu

Saldırganlar 19 Haziran’da yaptıkları saldırı ile kullanıcılara ait eski verilere erişim sağladı (Saldırıdan etkilenen toplam kişi sayısı açıklanmadı.)

  •      Dixons Carphone (Haziran 2018)

Teknoloji Mağazaları Zinciri

Geçen yıl şirket ağına yapılan saldırılardan yaklaşık 10 milyon kullanıcı etkilendi. Çalınan verilerin, adlar, adresler ve e-posta adresleri gibi kişisel bilgileri içerdiği düşünülüyor. 5.9 milyon kart bilgisine (neredeyse hepsinin çip ve şifre sistemi ile korunuyor olmasına rağmen) de erişilmiş olabilir.

  •      Equifax (Temmuz 2018)

Kredi Kuruluşu

Büyük siber saldırıdan, Amerika Birleşik Devletleri’nde yaşayan 143 milyon müşteri etkilendi. İlk belirlemelere göre ABD nüfusunun neredeyse yarısının isim, sosyal güvenlik numarası, doğum tarihi ve adres gibi tüm özlük bilgileri sızdırıldı. 23 ülkede devam eden soruşturmanın sonucunda yaklaşık 400 bin İngiliz müşterinin de saldırıdan etkilendiği ortaya çıktı. Böylece toplamda 145,5 milyon kişinin saldırılardan etkilendiği öğrenildi.

  •     Ashley Madison (Temmuz 2015)

Sosyal Medya Sitesi

Hacktivistler, 10 GB değerindeki veriyi çalarak, Deep Web aracılığı ile yayınladı. Bu veriler, 32 milyon kişinin kimlik bilgilerini ve kredi kartı işlem bilgilerini barındırıyordu.

  •   Target (Ocak 2014)

Perakende Zinciri

Hacker’lar, satış ağına erişti ve tüm satış noktası (PoS) makinelerini etkiledi. Yaklaşık olarak 40 milyon kart bilgisini dolandırıcılığa açık hale getirdi. Çalınan veriler, isim, banka bilgisi ve kartların PIN numaralarını içeriyordu.

  •      SingHealth (Temmuz 2018)

Sağlık Hizmetleri

Kimlik numaraları, adresler, doğum tarihleri dahil olmak üzere 1.5 milyon kişinin medikal olmayan verilerine erişildi ve bu bilgiler sızdırıldı. Çalınan bilgiler ayrıca 160 bin kişinin medikal verilerini de içeriyordu.

  •      Hong Kong Sağlık Departmanı (Temmuz 2018)

Kamu Kuruluşu

15 Temmuz’da yapılan fidye yazılım saldırısı ile iki hafta boyunca devre dışı bırakıldı.

  •     Anthem (Mayıs 2015)

Sağlık Kuruluşu

Nisan 2014’te başlayan bir saldırı, 80 milyondan fazla mevcut ve eski müşterinin kayıtlarının çalınmasına neden oldu. Çalınan veriler; isimleri, doğum günlerini, sosyal kimlikleri, e-posta adreslerini ve iş bilgilerini içeriyordu.

  •      U.K Military Contractor (Mayıs 2017)

Askeri Kuruluş

Askeri kuruluştan gelen hassas veriler, RoyalDNS olarak tanımlanan bir arka kapı kullanılarak kurumun ağından sızdırıldı.

  •   U.S. OPM (Nisan 2015)

Federal Kuruluş

Saldırganlar, 18 milyon federal görevlinin kayıtları, sosyal güvenlik numaraları, atama bilgileri ve eğitim detayları da dahil olmak üzere bilgilerini sızdırdı.

  •  Deloitte (Ekim/Kasım 2016)

Denetleme Şirketi

Firma, mavi-çipli müşterilerinden bazılarının gizli e-postalarını ve planlarını tehlikeye atan karmaşık bir saldırı ile karşı karşıya kaldı. Saldırı, Ekim ya da Kasım 2016 gibi erken bir tarihte başlatılmış olmasına rağmen saldırının bulguları Mart 2017’de ortaya çıktı.

  •    JP Morgan Chase & Co. (Ekim 2014)

Kredi Hizmeti Sunucusu

76 milyon hanenin ve 7 milyon küçük işletmenin verileri sızdırıldı. Çalınan veriler; isim, adres, telefon numaraları, e-posta adresleri gibi bilgileri içeriyordu.

  •     Maryland Üniversitesi (Mart 2014)

Eğitim Kurumu

Mali, tıbbi veya akademik bilgiler içermese de 1998 yılından beri saklanan 300 binden fazla öğrenci, öğretim üyesi ve personel kayıtları tehlikeye girdi. Çalınan veriler isimleri, doğum tarihlerini, üniversite kimlik numaralarını ve sosyal güvenlik numaralarını içeriyordu.

  •      Greenwich Üniversitesi (2004)

Eğitim Kurumu

Üniversite; isim, adres, doğum tarihi, imza ve hatta bazı tıbbi bilgileri içeren öğrencilere ait kişisel verileri, 2004’ten itibaren yeterli güvenliğe sahip olmayan bir mikro sitede barındırdığı için, 120 bin Sterlin para cezasına çarptırıldı.

Kurum ve devletlere yapılan saldırıların çok daha karmaşık olduğunun ve hedefli saldırılar kategorisinde olduğunun da altını çizmek de fayda var. Kurumların itibarlarını zedeleyen, marka değerinin düşmesine yol açan saldırılar bu kurumların her türlü finansal, kısa- orta ve uzun vade kurum stratejilerinin rakip firmaların elde etmesine de sebep olabiliyor.

Bireysel olarak bu saldırılardan etkilenmiş olanların durumuna baktığımızda ise hackerların bu verileri, kredi kartlarını kopyalayarak para kazanmak, sahtekarlık, kimlik hırsızlığı ve hatta şantaj için kullandıklarını görüyoruz.  Ayrıca çalınan bilgileri diğer suçlulara Deep Web pazarlarında toplu olarak da satabilirler.

Çalınan verilere dayanarak, siber suçlular için değerli olan belirli bilgi türlerini sizin için listeledik.

–       Üye isimleri

–       Doğum tarihleri

–       Sosyal güvenlik numaraları

–       Üye kimlik numaraları

–       E-posta adresleri

–       Posta adresleri, fiziksel adresler

–       Telefon numaraları

–       Banka hesap bilgileri

–       Klinik/ Tıbbi  bilgiler

–       Kişisel bilgiler

Son kullanıcılar, hedef endüstride önemli bir rolü olmadığı sürece, hassas bilgileri toplu olarak çalmaya çalışan siber suçluların hedefleri arasında önem teşkil etmiyor.  Ancak son kullanıcılar, kayıtları büyük şirketlerden çalınan bilgilerin bir parçası olduğunda özellikle finansal anlamda problemler yaşayabiliyorlar. Bu gibi durumlarda, aşağıdaki önerilerimizi göz atmanızı da başınıza gelebilecek bu gibi problemlere bir nebzede olsa önlem almanıza yardımcı olacaktır.  

  •     Bankanızı bilgilendirin. Hesap bilgilerinizi doğrulayın ve PIN kodunuzu değiştirin.
  •     Gelen e-postaların adreslerini iki kez kontrol edin. Siber suçlular, kendilerini banka temsilcileri olarak gösterebilir ve kimlik bilgilerinizi isteyebilir.
  •     Tanımadığınız kaynaklardan dosya indirmeyin ve şüpheli görünen linklere tıklamayın.
  •     Kimlik bilgileriniz veya mali bilgileriniz zarar görmüşse, verileri ihlal edilen şirketle iletişime geçin ve yetkililerle iletişime geçme konusunda size yardımcı olup olamayacaklarını sorun.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.