Tüm Detayları ile 2019’un Öne Çıkan Siber Saldırıları

2019’un kayıtlara geçen en büyük siber güvenlik zaaflarının arkasında yatan görüntü, karanlık bir odada yeşil rakamların aktığı ekranlarına kafalarını daldırmış kapüşonlu siber saldırganlar değildi. Tersine, sunucularını kamu erişimine karşı savunmasız bıraktıktan sonra deli gibi avukatlarına telefon açıp duran ve kamuoyuna özür açıklamaları geçen florasan ışığı altında kümelenmiş yönetici ve güvenlik uzmanlarıydı.

2019’un siber güvenlik haberlerinde en çok karşımıza çıkan terimlerden biri “güvenliği bulunmayan veri tabanı” oldu. Her ay, bir şirketin müşterilerinden acilen şifrelerini değiştirmesi istediğini ve yaşanan saldırının ne kadar zarara mal olduğuna dair açıklamalar okuduk.

Her ay, sağlık sektöründen devlet kurumlarına kadar birçok alanda hassas kamu bilgileri içeren sunucuların korunmasız bırakıldığına tanık olduk. Amazon Web Services ve ElasticSearch gibi bulut depolama şirketleri de yaşanan saldırıların ardından kendi isimlerini siber güvenlik haberlerinde görmeye alışır hale geldi.

Aslına bakılırsa, karşımıza medya tarafından abartılmış bir tablo yok. Risk Based Security raporuna göre, 2019’da yaşanan siber güvenlik saldırıları yüzde 33 artış gösterdi. En çok saldırıya uğrayan hedefler medikal hizmetler, perakende ve kamu kurumları oldu. Ele geçirilen veri dosyası 7,9 milyar olarak kayıtlarda yer aldı.

Siber saldırıların maliyetini hesaplamak 

Güvenlik bariyerinin ihlal edilmesi bir şirkete ne kadar fatura çıkarıyor? IBM tarafından hazırlanan en son rapora göre soruşturma harcamaları, hasar kontrolü, gerekli düzeltmeler, davalar ve cezalar gibi birçok kalem eklendiğinde faturanın bedeli 3,92 milyon dolara kadar yükselebiliyor. Söz konusu miktar, geride kalan beş senede yüzde 12 artış göstermiş durumda. Önümüzdeki yıllarda aşağı ineceğine dair en ufak bir sinyal de yok.

Siber suçlular tarafından her güvenlik bariyeri ihlali sonrasında ele geçirilen ve Dark Web‘in karaborsalarında satılan veriler, 2020’de sayısız tüketici tehdit eden ana unsurun kendisi. Pasaport numaraları, medikal kayıtlar, banka hesap bilgileri, sosyal medya hesaplarına ait bilgiler ve milyonlarca sosyal güvenlik numarası insanları tehdit altında bırakacak Seviyeye ulaştı.

Bir anda sunuculardan siber suçluların önüne saçılan sayısız veriyi toparlamaya ve yaşanan utancı gidermeye çalışmak için harcanan her bir saati hesaplamak imkansız. Gelecekte yaşanacak maliyetleri öngörmek de pek mümkün değil. Bu aşamada şirketler güvenlik hususunda ne yapmaları gerektiğini çok iyi anlamak zorunda.

Siber güvenlik dünyasında saldırılara karşı durabilmek, iklim değişikliğini önleyebilmek için her şirketin ofislerde geri dönüştürülebilir bardak kullanması gibi ortak bir davranış gerçekleştirmesi ile mümkün olmayacak. Devletlerin çok ciddi reformlar yapıp yüksek maliyetli altyapı güncellemeleri yapılmasını beklemek yerine, her şirket kendi güvenlik bariyerini denetlemek ve saldırılara cevap vermek durumunda.

Siber güvenlik dünyasının karmaşık dünyasında nasıl adım atılacağını anlamak için yöneticilerin ilk olarak 2019’da yaşanan saldırılara kısaca bir göz atması faydalı olacaktır.

Ocak

2019’un mega saldırıları serisi Marriott otel zincirinin Ocak ayında yaptığı siber saldırı açıklaması ile başladı. Siber suçlular, pasaport numaraları ve kredi kartı bilgileri dahil 383 milyon müşterinin verilerine erişim sağlamıştı. Bu sayı, 2017’de yaşanan ve 147,7 milyon ABD vatandaşının verilerinin ele geçirildiği Equifax saldırısının iki katından fazlaydı. Hassas bilgi dolu sunucuların ne vaziyette olduğunu gösteren en son ve hayret verici örnek ise güvenlik araştırmacısı Troy Hunt’ın bulut tabanlı bir sunucuda tam 773 milyon e-posta adresine erişim sağlaması ile ortaya çıktı.

Şubat

Güvenlik bariyerlerinin ne kadar kırılgan olduğunu gözler önüne seren Ocak ayının ardından Şubat, siber güvenlik dünyası için acımasız saldırılara tanık oldu. Siber suçlular aralarında çeşitli sosyal medya platformları ve çöpçatanlık sayfalarının da yer aldığı 16 web sayfasından 617 milyon kişiye ait kişisel verileri çaldı ve Dark Web üzerinde satışa sundu.

Dubmash, Armor Games, 500px, Whitepages ve ShareThis gibi sayfalardan alınan verilerin tümü, 20.000 dolar değerindeki BTC (bitcoin) karşılığında karaborsada satıldı.

Şubat ayının artçı saldırıları, internet kullanıcılarının gasp edilen verileriyle siber suçluları zengin etmeye devam etti. Avustralya’da 15 bin hastanın medikal kayıtları ele geçirildi, ABD’nin Connecticut eyaletinde 326 bin hastanın e-postaları ihlal edildi, Washington eyaletindeki neredeyse 1 milyon hastanın verilerini içeren sunucu ifşa edildi ve 2,7 milyon İsveç vatandaşının sağlık raporları internete sızdırıldı.

Mart

St. Patrick Günü’nde yaşanan güvenlik ihlali sonucu yüz milyonlarca Facebook ve Instagram kullanıcısının verileri internete sızdırıldı. Sızıntının kaynağı, şifre depolama yönetiminde yaşanan aksaklıklardı. Aynı ay, ABD’de 2002-2010 yılları arasında görülmüş sayısız davaya ait olan çoğu gizli 250 bin yasal belgenin yer aldığı sunucunun siber suçlular tarafından ele geçirilmesine tanıklık edildi.

Nisan

Facebook’un başrole çıktığı Nisan ayında, korunmasız sunucularda yer alan 540 milyon kullanıcı adı, kimlik bilgisi ve şifre ortalığa saçıldı. Facebook aynı ay milyonlarca Instagram kullanıcısının şifresini son derece güvenliği düşük bir format olan plaintext (şifrelenmemiş ve bu şekilde iletilen veri türü) ile sakladığını itiraf etti. Ancak Nisan ayının en şaşırtıcı veri ihlali bu değildi. Hindistan’da devlete bağlı bir kurumdaki 12,5 milyon hamile kadına ait medikal kaydın siber suçluların eline geçtiği kaydedildi.

Mayıs

Mayıs ayı gayrimenkul firması First American Financial şirketine ait yüz milyonlarca sigorta belgesinin internete sızdırılması ile başladı. İlerleyen günlerde medikal ve hukuk sektörünün yerine bu sefer gıda sanayisi öne çıktı. Bir Fast Food firmasının, çocuklara yönelik internet hizmetine ait veri tabanında yer alan 40 bin müşteri bilgisini siber korsanlara kaptırdı. En dikkat çekici siber güvenlik saldırılarından bir diğeri San Francisco Körfezi bölgesinde faaliyet gösteren iki rakip firma arasında yaşandı. Okullara yemek sağlayan iki firmadan Choicelunch’ın baş finans yöneticisi, rakibi theLunchMaster’ın web sayfasına siber saldırı düzenlemek suçundan tutuklandı. Saldırıda, birçok öğrenciye ait verilerin ele geçirildiği anlaşıldı.

Haziran

Amerikan Medikal Veri Toplama Derneği’nin (AMCA) sunucularında bulunan en az 20 milyon hasta bilgisi ele geçirildi. Müşterilerin ödeme bilgilerinden sosyal güvenlik numaralarına, medikal verilerinden doğum tarihlerine ve hatta telefon numaraları ve adreslerine kadar sayısız kritik bilgi siber suçluların eline geçti. Sonuçta, AMCA sayısız dava ile karşılaştı ve bu yükü kaldıramayarak iflasını açıkladı.

Temmuz 

Sahneye bu sefer Capital One bankası çıktı. Yaşanan güvenlik bariyeri ihlali ile 100 milyon kredi kartı uygulamasına ait veri ele geçirildi. Siber suçlular 140 bin sosyal güvenlik numarası, 80 bin banka hesap numarası ve adreslerden telefon numaralarına ve doğum tarihlerine kadar kişisel verileri ele geçirdi. Veri kaybının ardından Capital One, FBI soruşturması altına alındı. Soruşturmada, saldırının arkasında bilişim uzmanı (IT) çalışanından hacker’a dönüşen Paige A. Thompson adlı kişinin olduğu anlaşıldı. Saldırı, Equifax’ın 2017’de yaşanan saldırının yaralarını sarmak için hükümet düzenleyicileri ile 700 milyon dolar ile anlaştığı, Facebook’un ise Federal Ticaret Komisyonu’na (FTC) Cambridge Analytica skandalı nedeniyle 5 milyar dolar ödemeyi kabul ettiği günlerde geldi.

Ağustos

İndirimli sinema biletleri ile cazip teklifler sunan MoviePass, Ağustos ayında 160 milyondan fazla müşteri verisini şirket sunucularında şifresiz olarak sakladığını fark etti. Kredi kartı bilgilerinin Dark Web karaborsalarına akmasına neden olan sızıntının bir benzeri, Britanya’da yaşandı. Metropolitan Police departmanı, çeşitli bankalar ve şirketlerin sunucularında tutulan 27,8 milyon biyonik kayıt, siber suçluların eline geçti.

Eylül 

Words with Friends oyununa ait 218 milyondan fazla oyuncu verisi internete sızdırıldı. E-posta adresleri, isimler, kayıt bilgileri gibi hassas veriler, son derece basit bir saldırı ile kaybedilmişti. Bir hacker, önemli bir güncelleme öncesinde oyunda hesap açan kişileri hedefleyerek güvenlik önlemlerini kolayca aştı. Eylül ayının akılda kalan diğer büyük saldırısı, 17,5 milyon nüfuslu Ekvador’da hükümete ait sunuculardaki 20,8 milyon kişinin verilerinin çalınması oldu. Doğum tarihi, ulusal kimlik numaraları, adresler, telefon numaraları ve eğitim bilgileri gibi her türlü şahsi bilgi Dark Web’e düştü.

Ekim 

Ekim ayı, tek bir saldırıda devasa miktarda verinin çalındığına tanık olunan nadir saldırılardan birine sahne oldu. Korunmasız bırakılan Elasticsearch sunucusundan 4 milyar sosyal medya profil kaydı çalındı. Sunucularda, iki veri işleme firması tarafından depolanan ve 1,2 milyar bireysel kullanıcıya ait verinin ifşa edildiği anlaşıldı. Bu saldırının yanı sıra Adobe‘nin korunmasız bıraktığı sunucusundaki 7,5 milyon Creative Cloud müşteri bilgisi ele geçirildi. Rusya’da ise 20 milyon vatandaşın vergi bilgilerinin korunmasız bırakıldığı ve 2009-2016 arasındaki vergi bilgilerinin çoktan buhar olduğu ortaya çıktı.

Kasım

Facebook, yaklaşık 100 uygulama geliştiricisine kullanıcı profil verilerine uygunsuz erişim verdiği için tekrar manşetlere çıktı. Öte yandan Trend Micro firmasında bir “içten saldırı” vakası ortaya çıkarıldı. Şirketin müşterilerine ait 70 bin veriyi ele geçiren bir çalışan, bu verilerle müşterileri dolandırdığı anlaşıldıktan sonra tutuklandı.

Aralık 

Yeni yıla girmeye hazırlanırken, Hollandalı bir politikacı ve şehir konseyi üyesinin yıllardır internet üzerinden kadınlara şantaj yapan bir hacker olduğu ortaya çıktı. 2014’te tespit edilen ve Hollywood ünlüleri dahil sosyal medyada tanınan kişilerin çıplak fotoğraflarını çalan bir gruba üye olduğu düşünülen politikacı, Hollanda’da 100 kadının iCloud hesaplarına sızarak özel fotoğraflarını çaldı. YouTube ünlülerinden sporculara kadar 100 kadına şantaj hazırlığında olan politikacı, 3 yıl hapis cezası istemiyle yargılanıyor.