Veri hırsızlığı artık günlük hayatın bir parçası ve hepsini listelemenin imkanı yok. Fakat bir veri hırsızlığını büyük ya da küçük yapan faktörler nelerdir? Tüm bu faktörleri ölçtüğümüz bu yazımızda 21. Yüzyılın en önemli ve en büyük 16 veri hırsızlığını inceledik.

1. Yahoo

Tarih: 2013-14
Etki: 3 milyar kullanıcı hesabı

Ayrıntılar: Eylül 2016’da, düşüşte olan köklü bir İnternet devi, kendisini Verizon’a satmak için yapılan müzakereler sırasında, 2014’te muhtemelen “devlet sponsorluğunda bir aktör” tarafından tarihteki en büyük veri ihlalinin kurbanı olduğunu ilan etti. Saldırıda, 500 milyon kullanıcının gerçek adları, e-posta adresleri, doğum tarihleri ​​ve telefon numaraları çalındı. Şirket, söz konusu parolaların “büyük çoğunluğunun” sağlam bcrypt algoritmasını kullanarak hash edildiğini söyledi.

Birkaç ay sonra, Aralık ayında, 2013’teki saldırıyla ilgili önceki açıklamayı rafa kaldıran şirket, 2014 yılında farklı bir grup korsan tarafından saldırıya uğradığını ve 1 milyar kullanıcı hesabının çalındığı duyurdu. 2014’teki saldırıda korunmayan adlar, doğum tarihleri, e-posta adresleri ve parolaların yanında güvenlik soruları ve cevapları da ele geçirildi. 2017 yılının Ekim ayında Yahoo, tahminini tekrar gözden geçirerek aslında 3 milyar kullanıcı hesabının tümüyle çalındığını itiraf etti.

Bu veri ihlalleri sonucu Yahoo’nun satış fiyatından 350 milyon dolar düştü. Verizon sonunda Yahoo’nun temel İnternet işletmeleri için 4,48 milyar dolar ödedi. Sözleşme, iki şirketi ihlallere ilişkin düzenleyici ve yasal yükümlülüklerini paylaşmaya çağırdı. Satışa, Alibaba Group Holding’e yapılan 41,3 milyar dolarlık yatırım ve Yahoo Japonya’daki 9,3 milyar dolarlık hisseler dahil edilmedi.

1994’te kurulan Yahoo, bir zamanlar 100 milyar dolar değerinde bir İnternet şirketiydi. Satıştan sonra şirket Altaba adını aldı.

2. Adult Friend Finder

Tarih: Ekim 2016
Etki: 412,2 milyondan fazla kullanıcı hesabı

Ayrıntılar: Yetişkinlere pornografik içerik ve tanışma ortamı sunan Adult Friend Finder, Penthouse.com, Cams.com, iCams.com ve Stripshow.com gibi web sitelerini içeren FriendFinder Network, Ekim 2016 ortasında hacklendi ve isimler, e-posta adresleri ve parolalar içeren 20 yıllık altı veri tabanı çalındı.

Parolaların çoğu sadece zayıf SHA-1 karma algoritması tarafından korunuyordu, bu da yüzde 99’unun LeakedSource.com’un 14 Kasım’daki tüm verilerin analizini yayınladığı zamana kadar kırıldığı anlamına geliyordu.

Twitter’da 1×0123 ismiyle anılan bir araştırmacı, Adult Friend Finder’da bir Yerel Dosya Kaynaştırma saldırısının tetiklendiği anda çekilen ekran görüntüleri paylaştı. Zafiyet, Adult Friend Finder tarafından kullanılan prodüksiyon sunucularında bulunan bir modüldeki güvenlik açığının istismar edilmesi sonucu oluşmuştu.

Bundan sonra AFF Başkan Yardımcısı Diana Ballou, kaynak koda veri enjeksiyonu imkanı veren bu zafiyeti yamaladıklarını ilan etti.

3. eBay

Tarih: Mayıs 2014
Etki: 145 milyon kullanıcı

Ayrıntılar: Çevrimiçi açık artırma devi, 2014’ün Mayısında, tüm 145 milyon kullanıcısının isimlerin, adreslerinin, doğum tarihlerinin ve şifreli parolalarının çalındığını duyurdu. Söz konusu siber saldırganlar, üç şirket çalışanının bilgilerini kullanarak yerel ağa 229 gün boyunca erişim sahibi oldular ve bu sürede tünel kazar gibi sonunda kullanıcı veri tabanına ulaştılar.

Şirket öte yandan kullanıcılarına parolalarını değiştirmeleri tavsiyesinde bulundu ama kredi kartı numaraları gibi finansal bilgilerin ayrı bir yerde saklandığını ve saldırıya maruz kalmadığını açıklayarak güvence verdi. eBay bu sürede, kullanıcılarını bilgilendirme konusunda başarısızlığı ve zayıf parola yenileme prosedürü yüzünden çok eleştirildi.

CEO John Donahue, bu veri hırsızlığı sonucunda kullanıcı etkinliğinde gözle görülür bir düşüş yaşandığını itiraf etse de ikinci çeyrekteki gelirin (analistlerin beklediği gibi) yüzde 13, karın da yüzde 6 arttığını açıkladı.

4. Equifax

Tarih: 29 Temmuz 2017
Etki: Arasında sosyal sigorta numaraları, doğum tarihleri, adresler ve bazı durumlarda sürücü kimliği numaralarının bulunduğu 143 milyon müşterinin kişisel bilgileri. Ayrıca 290 bin müşterinin kredi kartı bilgileri de çalındı.

Ayrıntılar: ABD’deki en büyük kredi bürolarından biri olan Equifax, 7 Eylül 2017’de, web sitelerinden birindeki defolu bir uygulama yüzünden yaklaşık 143 milyon tüketicinin maruz kaldığı bir veri ihlaline maruz kaldığını duyurdu. İhlal 29 Temmuz’da keşfedildi ancak şirket, saldırının muhtemelen Mayıs ortasında başladığını söyledi.

5. Heartland Ödeme Sistemleri

Tarih: Mart 2008
Etki: SQL enjeksiyonu saldırısıyla Heartland’in veri sistemlerine casus yazılım kurularak 134 milyon kredi kartı bilgileri çalındı.

Ayrıntılar: Hırsızlığın yaşandığı dönemde, Heartland, çoğu küçük ve orta büyüklükte 175 bin için ayda ortalama 100 milyon ödeme kartı işlemi yapıyordu. Bu saldırı, Visa ve MasterCard’ın bazı hesaplardaki şüpheli işlemleri Heartland’e bildirdiği 2009 Ocağına kadar saklı kaldı.

Bu saldırının acı sonuçları arasında Heartland’in Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI DSS) uyumluluğundan çıkarılması ve 2009 Mayısına kadar büyük kredi kartı sağlayıcılarıyla işlem yapmasının yasaklanması yer aldı. Ayrıca sahtecilikle yapılan ödemeler için yaklaşık 145 milyon dolar ödemek zorunda kaldı.

2009 yılında Albert Gonzalez ve ismi verilmeyen iki Rus suç ortağı hakkında ABD’de suç duyurusunda bulunuldu. Küba göçmeni bir ailenin oğlu olan Amerikalı Gonzalez iddialara göre kredi kartı ve ödeme kartları hırsızlığının uluslararası planlayıcısıydı. Gonzalez 2010 yılında 20 yıl hapse mahkum edildi. SQL enjeksiyonu zafiyeti iyi biliniyordu ve güvenlik analistleri pek çok kez ticari siteleri bu yönde uyarmıştı. Buna rağmen SQL enjeksiyonu saldırıları o dönemdeki popülerliğini korudu.

6. Target Mağazaları

Etki: 110 milyona yakın kişinin kredi/ödeme kartı bilgileri ve iletişim bilgileri çalındı.

Ayrıntılar: Saldırı Şükran Günü öncesi yaşansa da ancak birkaç hafta sonra keşfedildi. ABD’nin en büyük ikinci mağaza zinciri olan Target, ilk başta, hackerların üçüncü parti bir klima satıcısı aracılığıyla POS ödeme kartı okuyucularına ulaştıklarını ve bu yolla yaklaşık 40 milyon kredi kartı ve ödeme kartı bilgilerini topladıklarını duyurdu.

Fakat Ocak 2014’te şirket tarafından yapılan açıklama ile saldırının boyutunun çok daha büyük olduğu anlaşıldı. Açıklamaya göre ayrıca 70 milyon müşterinin tam isimleri, adresleri, eposta adresleri ve telefon numaraları da çalınmıştı. Böylece saldırının etki ettiği müşterilerin sayısı 110 milyona çıktı.

Target’in CIO’su Mart 2014’te, CEO’su da Mayısta istifa etti. Şirket, kendi tahminlerine göre bu büyük veri hırsızlığı sonucunda 162 milyon dolar zarar etti. Mağaza zinciri bu olay sonunda güvenlik önlemlerini ciddi bir düzeyde artırdı.

7. TJX

Etki: 94 milyon kredi kartı bilgileri çalındı

Ayrıntılar: Bu olayın nasıl gerçekleştiğine dair çeşitli iddialar var. Bunlardan birincisine göre, bir grup hacker zayıf bir veri şifreleme sistemini istismar etti ve Miami’deki iki Marshall’s mağazası arasında yapılan bir kablosuz transfer sırasında kredi kartı bilgilerini çaldı. İkincisine göre ise, bu grup, mağaza dahilinde yer alan ve insanların elektronik iş başvurusu için kullandığı kioslar aracılığıyla TJX ağına sızdı.

Siber suç ‘efsanesi’ ve Heartland saldırısının elebaşı Albert Gonzalez, kredi kartlarını çalan hırsız çetesinin lideri olarak 2010’da suçlu bulundu ve 20 yıl hapse mahkum edilirken 11 kişi de tutuklandı. Suçun işlendiği zamanda ABD Gizli Servisi için ücretli muhbir olarak çalışan Gonzalez’in aylık maaşı 75 bin dolardı. Hükümet kaynaklarına göre bu hırsızlık sonucu şirketlerin, bankaların ve sigortacıların yaklaşık 200 milyon dolar zarar etti.

8. JP Morgan Chase

Tarih: Temmuz 2014
Etki: 76 milyon hane ve 7 milyon ufak işletmenin bilgileri çalındı

Ayrıntılar: ABD’nin en büyük bankası 2014 yazında siber saldırıya maruz kaldı ve üke çapındaki hanelerin yarısından fazlasını ve ayrıca 7 milyon ufak işletmeyi etkiledi. Çalınan veri arasında iletişim bilgileri (isimler, adresler, telefon numaraları ve eposta adresleri gibi) ve bir araştırma komisyonuna göre kullanıcıların dahili bilgileri de yer alıyordu.

Banka, hiçbir müşterinin parasının çalınmadığını ve “etkilenen kişilere ait hesap numaraları, parolalar, kullanıcı kimlikleri, doğum tarihleri ya da sosyal sigorta numaraları gibi hesap bilgilerinin saldırı sırasında ele geçirildiğine dair bir kanıt olmadığını” açıkladı.

Buna rağmen, siber saldırganların, bankanın 90’dan fazla sunucusunda “kök” erişimi elde ettiğine dair haberler geliyordu. Bu, sunucuda tam denetim sağlayan bu ayrıcalıklı erişim ile saldırganların rahatlıkla para transferi ve hesap kapatmak gibi işlemleri yapabildiği anlamına geliyor. SANS Enstitüsü’ne göre JP Morgan güvenliğe her yıl 250 milyon dolar harcıyor.

Kasım 2015’de federal yetkililer dört adam için dava açarak, bu kişileri JP Morgan ve diğer finansal kuruluşlara saldırmakla suçladı. Gery Shalon, Joshua Samuel Aaron ve Ziv Orenstein; arasında bilgisayarlara izinsiz erişim, kimlik hırsızlığı, güvenlik ihlali, para transferi dolandırıcılığı ve kara para aklamanın da bulunduğu 23 ayrı suçtan zimmetlerine yaklaşık 100 milyon dolar geçirmekle itham edildiler. Networklere sızmada yardımcı olan dördüncü hackerın ise kimliği açıklanmadı.

İkisi de İsrailli olan Shalon ve Orenstein, Haziran 2016’daki davada suçlamaları reddettiler. Aaron, New York’taki JFK Havaalanında Aralık 2016’da yakalandı.

9. ABD Memurluk Bürosu (OPM)

Tarih: 2012-2014
Etki: Mevcut ve önceki 22 milyon devlet çalışanının kişisel bilgileri

Ayrıntılar: Çinli olduğu belirtilen bilgisayar korsanları, 2012’de başlayarak OPM sisteminde bulunuyorlardı, ancak 20 Mart 2014 tarihine kadar tespit edilmediler. İkinci bir bilgisayar korsanı veya grubu, Mayıs 2014’te anlaşmalı bir üçüncü taraf şirket aracılığıyla OPM’ye erişim elde etti fakat yaklaşık bir yıl sonrasına kadar gene keşfedilmediler. Davetsiz misafirler personel verilerini sızdırdı. Çalınan bilgilerin çoğu ayrıntılı güvenlik izni bilgileri ve parmak izi verileri de içeriyordu.

Geçen yıl, eski FBI direktörü James Comey, çalışanların güvenlik izni için arka plan kontrolleri yapmak için kullanılan SF-86 olarak çağrılan formdaki bilgilerden bahsetti: “Benim SF-86 listelerim, 18 yaşımdan bu yana yaşamış olduğum her yeri, şimdiye kadar gittiğim her uluslararası seyahati, tüm ailemi ve adreslerini listeliyor. Etkilenen sadece benim kimliğim de değil. Kardeşlerim var. Beş çocuğum var. Bunların hepsi orada. “

Geçen sonbaharda Gözlem ve Hükümet Reformu Komitesi tarafından geçtiğimiz sonbaharda yayımlanan “OPM Veri İhlali: Hükümet, Ulusal Güvenliğimizi Nasıl Nesillerce Tehdit Altında Bıraktı” başlıklı bir raporda özetledi.

10. Sony PlayStation Network

Tarih: 20 Nisan 2011
Etki: 77 milyon PlayStation Network hesabı hacklendi; hizmetin devre dışı kaldığı bir aydaki tahmini kayıp 171 milyon dolar oldu.

Ayrıntılar: Bu, oyuncuları etkileyen tüm zamanların en kötü veri ihlallerinden biri olarak görülüyor. Bu saldırıdan 77 milyondan fazla hesap etkilendi ve 12 milyon şifrelenmemiş kredi kartı numaraları çalındı. Hackerlar, tam adları, parolaları, e-postaları, ev adreslerini, satın alma geçmişini, kredi kartı numaralarını ve PSN/Qriocity kullanıcı isimi ve parolalarını çaldı. EIQnetworks’ten John Linkous olay sonrası şöyle konuştu: “Her siber güvenlik uzmanı merak etmeye başladı; eğer durum Sony’de böyleyse, milyonlarca kullanıcı verisinin üzerinde oturan pek çok uluslararası şirkette nasıl? Bilgi güvenliği çalışanlarına, kurumlarının tamamını kapsayacak şekilde zafiyet analizi yapılması ve güvenlik uygulamalarını yürütmesi konusunda sık sık hatırlatma yapılması gerektiği belirten Linkous, kullanıcıları bilgilerini kimle paylaştıkları kousunda daha duyarlı olmaya çağırdı.

2014 yılında Sony, kusurundan dolayı açılan bir davada 15 milyon dolar ödemeyi kabul etti.

11. Anthem

Tarih: Şubat 2015
Etki: Mevcut ve önceki 78,8 milyon müşterinin kişisel bilgileri çalındı.

Ayrıntılar: Eskiden WellPoint olarak bilinen ABD’deki ikinci büyük sağlık sigortası, bir siber saldırıyla mevcut ve eski müşterilerine ait adların, adreslerin, sosyal güvenlik numaralarının, doğum tarihlerinin ve çalışma geçmişlerinin, kısaca kimlik hırsızlığı için gerekli tüm bilgilerin çalındığını duyurdu.

Fortune, Ocak ayında yayımladığı bir araştırmada, sağlık tarihinin en büyük veri ihlali olarak nitelendirilen saldırıyı gerçekleştiren bilgisayar korsanlarının yabancı bir hükümet tarafından sponsor edilmiş olabileceği sonucuna vardığını bildirdi. Edinilen bilgilere göre, Anthem saldırısı, duyurulmasından yaklaşık bir sene önce, bir çalışanın kendisine gelen tuzaklı bir epostadaki linke tıklaması sonucu gerçekleşti. Hırsızlığın yarattığı toplam mali zarar henüz bilinmiyor, ancak 100 milyon doları aşması bekleniyor.

Anthem, 2016 yılında, müşteri bilgilerinin satıldığına, paylaşıldığına veya haksız yere kullanıldığına dair bir kanıt olmadığını söyledi. Ayrıca iddiaya göre, kredi kartı ve tıbbi bilgiler de çalınmadı.

12. RSA Güvenlik

Tarih: Mart 2011
Etki: 40 milyon çalışanın kayıtlarının çalındığı düşünülüyor.

Ayrıntılar: Güvenlik devi SecurID kimlik doğrulama belirteçlerine ilişkin bilgilerin çalınmasının yarattığı etkinin boyutu hala tartışılıyor. EMC’nin güvenlik bölümü olan RSA, iki ayrı korsan grubunun, yabancı bir hükümetle işbirliği yaparak, çalışanlarının güvendiği insanları gibi poz verip şirketin ağına girmeyi başardıklarını söyledi.

EMC, geçtiğimiz Temmuz ayında iyileştirme konusunda en az 66 milyon dolar harcadığını bildirdi. RSA yetkililerine göre, hiçbir müşteri ağına sızılmamıştı. EIQnetworks’ün baş güvenlik ve uygunluk sorumlusu John Linkous ise buna inanmıyor: “RSA, başlangıçta ne saldırının hedefi, ne de çalınan veriler hakkında belirsiz ifadeler kullanarak duruma hiç de yardımcı olmadı. Sonrasında gerçekleşen ve kısmen de olsa RSA ihlali ile imkan bulan Lockheed-Martin, L3 vb. saldırıları sadece zaman meselesiydi.” Bunun ötesinde psikolojik hasar da vardı. Alınan dersler arasında, RSA gibi iyi güvenlik şirketlerinin bile hacklenmeye karşı bağışık olmadığı vardı.

13. Stuxnet

Tarih: 2010 sırasında keşfedilse de kökleri 2005’e uzanıyor
Etki: İran’ın nükleer enerji programına saldırmak amacıyla tasarlansa da, gerçek hayatta izinsiz girişler; elektrik, su ve toplu taşıma şebekelerinin bozulması amacıyla bir şablon olarak da kullanılabiliyor.

Ayrıntılar: Kötü niyetli Stuxnet solucanının öncü etkileri en azından Amerika Birleşik Devletleri’nde çok azdı, fakat bir çok uzman fiziksel sonuçlar oluşturduğu için bu saldırıyı büyük veri ihlallerinden biri olarak görüyor.

Sadece Siemens SCADA sistemlerini hedef alan kötü niyetli yazılım, tahmini 984 uranyum zenginleştirme santrifüjünü yok ederek İran’ın nükleer programına ciddi darbe vurdu. Her ne kadar saldırının ABD ve İsrail’in ortak çabasıyla oluşturulduğuna dair iddialar oluşsa da konuyla ilgili herhangi bir resmi bilgilendirme yapılmadı.

14. VeriSign

Tarih: 2010 boyunca
Etki: Çalınan veri açıklanmadı

Ayrıntılar: Güvenlik uzmanları, hackerların kıdemli sistemler ve bilgilere erişim elde ettiği VeriSign saldırısının en korkunç tarafının, şirketin bu saldırıyla baş etme yöntemi olduğu konusunda hemfikirler. VeriSign hiçbir aman saldırıların varlığını duyurmadı. Olay, 2011’e kadar kamudan saklandı ve bu da anca SEC zorlamasıyla oldu.

PCWorld’ün dediği gibi, “VeriSign, saldırıyı, yılda dört kez gerçekleşen Güvenlik ve Takas Komisyonu’ndan (SEC) sanki önemsiz bir bilgiymiş gibi sakladı.”

VeriSign, DNS sunucuları veya sertifika sunucuları gibi kritik sistemlerin ele geçirilmediğini belirtse de, “bilgisayarlara ve sunucularımızın küçük bir bölümündeki bilgiye erişim sağlandığını” söyledi. Çalınan bilgilerin ne olduğunu ve şirkette veya müşterileri üzerinde ne gibi bir etkisinin olabileceği hala araştırılmadı.

15. Home Depot

Tarih: Eylül 2014
Etki: 56 milyon müşteriye ait kredi ve ödeme kartı bilgileri çalındı.

Ayrıntılar: Donanım ve yapı tedarik perakendecisi, haftalardır şüphelendikleri şeyleri Eylül ayında açıkladı; Nisan veya Mayıs ayıdan başlamak suretiyle POS sistemlerine kötü amaçlı yazılım bulaşmıştı. Şirket daha sonra bir soruşturma sonucunda anti-virüs yazılımı olarak ortaya çıkan “benzersiz, özel yapılı” bir kötü amaçlı yazılım kullanıldığı sonucuna varıldığını söyledi.

Mart 2016’da şirket, müşterilerin kaybını karşılamak için 13 milyon dolarlık bir fon ayırdı ve bir buçuk yıl kart sahiplerinin kimliklerini koruyan sistemler için ise 6,5 milyon dolar harcayarak en az 19,5 milyon dolar ödemeyi kabul etti.

Anlaşma, ödeme kartı verilerinin çalındığı yaklaşık 40 milyon kişiyi ve e-posta adreslerinin çalındığı 52 milyondan fazla kişiyi kapsadı. Gruplar arasında bir miktar örtüşme oldu. Şirket, tüketici uzlaşması ve beklenen sigorta gelirleri dahil olmak üzere ihlal için yaklaşık 161 milyon dolar ödedi.

16. Adobe

Tarih: Ekim 2013
Etki: 38 milyon kullanıcı kaydı

Ayrıntılar: Ekim ayı başında ilk olarak güvenlik blog yazarı Brian Krebs tarafından bildirilen ihlalin boyutunu ve neyi içerdiğini bulmak haftalar sürdü. Şirket başlangıçta bilgisayar korsanlarının yaklaşık 3 milyon şifreli müşteri kredi kartı kaydının ve ayrıca belirsiz sayıda kullanıcı hesabı giriş verilerinin çalındığını bildirdi.

Ekim ayının sonlarına doğru Adobe, saldırganların 38 milyon “aktif kullanıcının” kimlik kartlarına ve şifrelenmiş parolalarına eriştiklerini açıkladı. Ancak Krebs, sadece birkaç gün önce yüklenen bir dosyanın “Adobe’den çalınan 150 milyondan fazla kullanıcı adı ve şifreli parolayı içerdiğini” duyurdu. Haftalar süren araştırma sonunda müşterilerin bilgilerinin yanı sıra birkaç Adobe yazılımının kaynak kodunun da çalındığı anlaşıldı.

Ağustos 2015’te ulaşılan bir anlaşma sonunda Adobe 1,1 milyon dolarlık yasal ceza ve kullanıcı kaydı yasasını ihlalden kullanıcılara belirtilmeyen bir oranda para cezası ödemeyi kabul etti. Kasım 2016’da, müşteriler için ödenen paranın 1 milyon dolar olduğuna dair haberler çıktı.