2018’de öne çıkan 12 veri sızıntısı


Merhaba

2018 yılı, veri sızıntılarının gündemi meşgul ettiği bir yıl oldu. Veri sızıntılarıyla ilgili haberlerin oldukça rutin hale gelmesi nedeniyle vakalar her seferinde çok hızlı şekilde unutulsa da 2018, şirketlerin ciddi veri sızıntılarıyla hasar gördüğü ve masum kullanıcıların kişisel bilgilerinin risk altına girdiği pek çok vaka ile geride kaldı.

8 dolara 1 milyar kişinin bilgisi

Hindistan’daki Tribune gazetesi, siber suçluların ülkenin biyometrik veritabanını WhatsApp üzerinden sattığını raporladığında, yılın daha ilk günleri yaşanıyordu. Habere göre gazetenin muhabirleri yaklaşık 8 dolara, 1 milyardan fazla kişinin ismine, mail adresine, telefon numarasına ve posta koduna erişim sağlayabilmişti. Daha da kötüsü, fazladan beş dolar ödeme karşılığında kendilerine benzersiz bir Hint kimlik kartı teklif edilmişti. Aadhaar Card olarak bilinen bu kart, bedava okul yemekleri ve yakıt giderleri gibi devlet hizmetleri için kullanılabiliyordu.

FedEx bilgileri kime teslim etti?

Şubat’ta global kargo şirketi FedEx, güvenliksiz bir Amazon AWS sunucusu nedeniyle kullanıcı bilgilerini açığa çıkartan pek çok şirketten biri olarak gündeme geldi. Güvenlik araştırmacıları halka açık bırakılmış sunucunun, isimleri, adresleri, telefon numaralarını, pasaport fotoğraflarını, sürücü belgelerini ve faturaları içeren 119 bin doküman içerdiğini tespit etti. Güvenlik zafiyeti bulunan diğer bulut parçaları gibi, hackerlerin hassas verilere erişim kazanması için bir şifre girmesine bile gerek kalmamıştı.

Facebook skandalı gündemi sarstı

Çevrimiçi gizliliği gündeme getiren Mart, teknoloji şirketlerinin kullanıcı verilerini nasıl dikkatsiz bir şekilde açığa çıkardığını tüm halkın ilgisini çeken Cambridge Analytica vakasıyla gösteren bir ay oldu.

Bu vakada Facebook’ta bulunan bir kişilik testini çözen 270 bin kullanıcının ve bu kişilerin toplam 50 milyon arkadaşının kişisel bilgileri çalınmıştı. Normalde Facebook uygulama geliştiricilerinin kullanıcıların verilerini üçüncü partilerle paylaşmadığı düşünülse de test ile toplanan veri, Cambridge Analytica ile paylaşıldı.

Facebook verilere erişildiğini fark edince, verilerin yok edilmesini talep etse de karşı taraf sözünü tutmadı. Teknik olarak düşünüldüğünde bu bir Facebook veri sızıntısı yerine bir veri politikası açığı olarak düşünülebilir ancak sonuçları pek çok veri sızıntısından daha kötü oldu.

Sağlık derken bilgiler gitti

Nisan ise MyFitnessPal uygulaması kullanıcılarının zarar gördüğü bir dönem olarak 2018’de yer aldı. Hackerlerin kullanıcı adları, mail adresleri ve şifreleri çalmasının ardından 150 milyon kullanıcı, kişisel bilgilerinin ele geçirildiğini fark etti. Bu vaka, kırılması zor şifreler seçme ve aynı şifreyi birden fazla web sitesi veya uygulamada kullanmama gibi basit kuralların önemini bir kez daha gösterdi.

GDPR yürürlüğe girdi

25 Mayıs 2018’de Avrupa’nın GDPR yasasını devreye koyması ve bu sayede şirketlerin kullanıcıların özel bilgilerine karşı dikkatsiz olmasının daha çok engellenmeye başlanması ile Mayıs, veri güvenliği için iyi bir ay oldu.

GPDR ile devletler ilk kez, güvenliği zayıf şirketlere ciddi maddi cezalar verme gücü kazandı. Ancak tabii ki GDPR gibi yeni veri koruma kanunlarının hiçbiri veri sızıntılarının sonunu getirmedi.

Facebook’a bağlı “myPersonality Facebook” uygulamasına kayıtlı altı milyon kullanıcının özel, hassas verilerinin GitHub’da dört sene boyunca açık olarak görülecek şekilde yayınlandığı ortaya çıktı. Facebook, profillere dair çok fazla bilgi depoladığı için bu ve başka 200 uygulamanın çalışmasını askıya alsa da, tam bir çözüm geliştiremedi.

Bilet devi bilgileri çaldırdı

Yılın yarısı geride kaldığında, veri sızıntıları ardı arkası kesilmemeye devam ediyordu. Haziran, Ticketmaster vakasıyla çalkalandı. Kötü niyetli bir kodun Ticketmaster sitesine yerleştirildiğini fark eden yetkililer, isim, adres, mail adresi, telefon numarası, giriş ve ödeme detayları gibi kullanıcı bilgilerinin sızdırılmış olabileceğini duyurdu.

Sorunun Ticketmaster’in ödeme sayfasına yerleştirdiği üçüncü parti kodundan kaynaklandığı ortaya çıktı. Dijital bir banka olan Monzo, Ticketmaster ile Nisan ayında iletişime geçerek websitelerinin sızıntıya uğramış olduğuna inandıklarını belirtmiş ancak Ticketmaster problemin gerçekliğini Haziran’a kadar doğrulamamıştı.

10 milyon kişinin bilgileri sızdı

İngiltere’deki popüler mağazalardan Currys PC World, Carphone Warehouse ve Dixons Travel’in yaklaşık 10 milyon kullanıcısı, ödeme bilgileri ve kişisel kayıtların hackerler tarafından çalındığı bir veri sızıntısından etkilendi. Bu şirketler Temmuz ayını kullanıcıların tepkisi nedeniyle alarm halinde geçirdi.

Air Canada: 1,7 milyon kişi şifresini değiştirmek zorunda kaldı

Ağustos’un veri sızıntısı gündeminin merkezine Air Canada oturdu. Bu vakada hackerler, kullanıcı isimleri, telefon numaraları, mail adresleri, Air Canada hesap numaraları, tüm pasaport detayları, cinsiyet, ikamet edilen ülke ve doğum yıllarına erişim kazandı.

Hackerlerin 20.000 hesabı ele geçirdiği duyurusunun ardından Air Canada’nın mobil uygulamasını kullanan 1,7 milyon kişi, şifrelerini değiştirmek zorunda kaldı. Bu bilgilerin sigorta şirketleri, mobil operatörler ve bankalarla paylaşılması ihtimali nedeniyle durum oldukça korku yarattı.

Tekrar Facebook gündemde

Eylül ayında Facebook tekrar gündeme geldi. Facebook, ciddi bir güvenlik zafiyeti nedeniyle hackerlerin hesaplara ve giriş için Facebook’u kullanan üçüncü parti uygulamalara dair bilgilere erişebilmesine neden olan bir güvenlik zafiyetinin varlığını kabul ederek yaklaşık 50 milyon hesaba ulaşıldığını bildirdi. Başkasının Gözünden Gör (“View As”) güvenlik sızıntısı olarak bilinen bu sorunun kurbanları arasında kurucu Mark Zuckerberg’in ve Facebook operasyon müdürü Sheryl Sandberg’in bile bulunduğu söylendi.

Bu sefer Pentagon

Ekim’de 30.000 askeri çalışan ve sivil personelin kredi kartı ve kişisel bilgileri, Pentagon’a yönelik bir güvenlik sızıntısında açığa çıktı. Veri sızıntısı, Savunma Bakanlığı’na seyahat yönetimi hizmetleri veren, ismi açıklanmayan bir üçüncü parti sağlayıcıdan dolayı gerçekleşti. En gizli olarak kabul edilen bilgilerin durumdan etkilenmemiş olduğu duyurulsa da, bilgileri hackerlerin eline düşen kullanıcıların içi rahatlatılamadı.

Marriott Otel, 500 milyon kişinin bilgisini çaldırdı

Şimdiye kadarki en geniş kapsamlı veri sızıntılarından biriyle Kasım ayında Marriott Hotel yüzleşti. Otelin açıklamasına göre, ziyaretçi rezervasyon veri tabanındaki 500 milyon kişinin bilgileri risk altına girdi.

Bu bilgiler, isim, mail adresi, telefon numarası, pasaport numarası, hesap bilgisi, doğum tarihi, cinsiyet, giriş ve çıkış bilgileri ile rezervasyon tarihiydi. Bazı kullanıcılara göre kart bilgileri ve kartların son kullanma tarihleri de çalınmıştı. 2013’te Yahoo’nun yaşadığından sonra bu veri sızıntısı tarihteki en büyük ikinci sızıntı vakası olarak kaydedildi.

Ve kapanış Google Plus ile…

Sorunun Mart ayında keşfedilmesinin ardından Google, Ekim 2018’de Google+ sosyal ağında gizlilik hakkında ciddi bir eksikliğin olduğunu kabul etti.

Bu durumun karşılığında şirket, Google+’yı Ağustos 2019 sonunda kapatmaya karar verse de 2018’de Google’ın yaşadığı veri gizliliği problemleri bununla bitmedi.

Google Aralık ayında bu sefer de yaklaşık 52 milyon Google+ profil bilgisinin açığa çıkmasıyla sarsıldı. Açıklamaya göre ara yüzdeki bir zafiyet, üçüncü parti uygulamaların ve geliştiricilerin kullanıcıların kişisel bilgilerine izinsiz erişmesine yol açtı.