Tarihteki En Büyük Veri İhlalleri / Bölüm: 2

İlk bölüm için buraya tıklayınız.

River City Medya Verileri İhlali

En ciddi veri ihlallerinden biri, River City Media’nın kendisine yönelik en büyük siber saldırı ile karşılaştığı 2017 baharında gerçekleşti.

Bir kişinin spam e-posta görünce sevinçten zıpladığı görülmemiştir. Ancak birçok kişinin bu epostaları açtığı ve böylece spam odaklı işletmelere bazı veri ölçümleri sağladığı ortaya çıktı.

River City Media bir şekilde büyük bir e-posta ve posta adresi veritabanına yetkisiz erişime izin verdi. Bu, 1,37 milyar abone kaydının kötü niyetli kişilerin eline geçmesine neden oldu.

Marriott Uluslararası Veri İhlali

Bir örnek de otel sektöründen. Marriott International birçok kez veri kayıtlarının ihlal edildiğini duyurdu. Bilgisayar korsanları, 2014’ten 2018’in sonlarına kadar kayıtlarına erişebildi. Ve bir kez daha Ocak 2020’de.

En son güvenlik ihlallerinden biri, 5,2 milyondan fazla misafirin kişisel verilerine erişime izin verdi. Veriler, iletişim bilgilerini, kişisel bilgileri, tercihleri ​​ve daha fazlasını içeriyor.

Ancak, büyük veri ihlalleri açısından 5,2 milyon kayıt o kadar etkileyici değil. Öyleyse birkaç yıl önce neler olduğunu görelim – 2014’ten 2018’e. Siber güvenlik ihlallerine gelince, bu en uzun süredir devam edenlerden biriydi. İhlalin ganimetlerinin 500 milyon kişinin kişisel bilgileri olduğu tahmin ediliyor. Veritabanı isimler (tam ve kısmi kombinasyonlar), posta/e-posta adresleri, telefon numaraları, hesap bilgileri, doğum tarihi, cinsiyet, rezervasyon tarihleri, varış/ayrılış saatleri, ödeme kartı numaraları/son kullanma tarihleri ​​ve pasaport bilgilerini içeriyordu.

Neyse ki tüm kredi kartı bilgileri (8,6 milyon kredi/banka kartı numarası) AES-128 şifrelemesi altındaydı.

Bu olay en büyük veri ihlallerinden biridir ve verilerin büyük bir kısmı herkes tarafından okunabilir durumdaydı.

Örneğin, 5,25 milyon müşterinin pasaport numarası şifresizdi. Marriott International, zararları daha ayrıntılı bir şekilde değerlendirdiğinde etkilenen müşteri sayısını 383 milyon olarak tahmin ettiğini açıkladı.

Peki, bu kadar çok misafir kaydını kim kullanıyor? Uzmanlar saldırının arkasında Çin istihbarat toplama ekiplerinin olduğuna inanıyor. İşin aslı şu ki, Marriott International, şimdiye kadarki en ünlü veri ihlallerinden birinin arkasında kimin olduğunu düşündüğünü hâlâ açıklamadı.

İhlalle ilgili haberlere, birincil hedeflerinin “ne olduğunu anlamak” ve “misafirlerine en iyi şekilde nasıl yardımcı olabileceklerini” söyleyerek tepki gösterdiler.

FriendFinder Ağ Veri İhlali

Bazı insanlar, aşk hayatlarına dair geçmişlerinin kamuya açıklanması yerine sosyal medya hesaplarına erişim vermeyi tercih edebilir. Bu nedenle, bunun “2016’nın en büyük ihlali” olarak adlandırılması şaşırtıcı değil. Açığa çıkan kayıtlar, kullanıcı adları, şifreler ve e-posta adresleri dahil olmak üzere 412 milyondan fazla bilgi parçasına ulaştı. “Dünyanın En Büyük İlişki Topluluğu”nun kullanıcı tabanını hack’lemek, bilgilerin hassas doğası göz önüne alındığında, dünyanın en büyük veri ihlallerinden biri olarak kolayca sınıflandırılabilir. FriendFinder Ağı, yirmi yılı aşkın süredir biriken müşteri verilerini içeren bir güvenlik ihlaline maruz kaldı.

MySpace Veri İhlali

Şubat 2016, MySpace için hiç de sakin geçmedi.

Birçoğumuz platformu unutmuş olsa da, hala var. MySpace’in şu anki sahibi Time Inc., çalınan verilerin eski olduğunu doğrulamasına rağmen, hala büyük bir hit. Açıklamaya göre, bilgisayar korsanları yalnızca 11 Haziran 2013 tarihinden önce veri elde etmeyi başardılar. Peki ne elde ettiler? E-posta ve şifre listeleri. MySpace CFO’su Jeff Bairstow, kullanıcılara veri güvenliğini “son derece ciddiye aldıkları” konusunda hemen güvence verdi. Olay daha önceki siber güvenlik ihlalleri kadar ciddi görünmese de bu hesaplar her türlü kişisel bilgiyi barındırıyor. Ad, meslek, ağ etkinliği ve MySpace’in popüler olduğu zamana ait bazı ölçümler.

Exactis Veri İhlali

2018’deki tüm son veri ihlali vakalarına bakarken, Exactis adının ortaya çıkması çok uzun sürmedi. Florida, Palm Coast’ta bulunan bir veri toplama/pazarlama şirketi, tahmin ettiğiniz gibi, siber saldırıya uğradı.

Görünen o ki, çok daha fazlasını bilerek daha az gösterme yaklaşımını destekliyorlardı, zira Exactis’in 2018’de 230 milyon ABD vatandaşıyla ilgili kişisel bilgileri bir şekilde ifşa etmeyi başarması endişe verici. İhlal, Haziran ayında ElasticSearch şirketinin savunmasını kontrol eden bir güvenlik araştırmacısı olan Vinny Troia’nın eliyle ortaya çıktı.

Troia, 2018’deki en büyük veri ihlallerinden birini keşfetmek için internete bağlı cihazları hedefleyen bir arama motoru olan Shodan’ı kullandı – genel sunucularda yaklaşık 7.000 farklı veritabanı. Bunlardan biri Exactis’e aitti ve tamamen korumasızdı.

Tıpkı lise yemeğinizi kafeteryadaki ortak masaya bıraktığımız gibi. Ancak, değerli yiyecek ısırığının aksine, Exactis veri tabanı yaklaşık 340 milyon kayıttan oluşuyordu. Bunların %66’dan biraz fazlası bireylere bağlıyken, geri kalanı ülke çapında faaliyet gösteren şirketlere aitti.

Neyse ki, hiçbir sosyal güvenlik numarası veya kredi kartı numarası açıklanmadı. Ancak birçok başka bilgi sızdırıldı: Fiziksel adresler, e-posta adresleri, telefon numaraları, yaş, cinsiyet, hatta müşterilerin çocuklarının cinsiyeti, dini inançları ve sigara içme alışkanlıkları.

Yine, bunun koordineli bir bilgisayar korsanı ihlali mi yoksa sadece özensiz bir sızıntı mı olduğu asla belli olmadı.

Court Ventures Veri İhlali

Büyük bilgisayar korsanlığı olaylarına geri dönersek, Ekim 2013, Experian’a ait bir şirket olan Court Ventures’ı 200 milyon tüketici kaydının açığa çıktığı bir ihlal yaşadı. İhlalin gerçekleşme şekli ise büyüleyici…

25 yaşındaki Hieu Minh Ngo, oldukça uzun bir süre boyunca tamamen görünmeyen bir kimlik hırsızlığı operasyonu yürütmeyi başardı. Bu, 200 milyon hassas kişisel bilgi kaydı toplamak için yeterliydi.

Daha sonra topladığı verileri hem kimlik hırsızlığı web sitelerinde, hem de iki farklı site üzerinden 1300’den fazla kişiye sattı. Üstelik bunların hepsini Vietnam’dayken yaptı. Bununla birlikte, daha sonra Temmuz 2015’te ABD federal hapishanesinde 13 yıl hapis cezasına çarptırıldı.

Derin Kök Analitik Veri İhlali

Aralık 2015, Donald Trump’ın henüz sadece bir ABD başkan adayı olduğu Noel döneminde en büyük siber güvenlik ihlallerinden biri yaşandı…

198 milyondan fazla seçmen kaydının kötü korunan bir veri tabanında tutulduğu ortaya çıktı – tam adlar, ikamet durumları, adresleri, doğum tarihleri, telefon numaraları ve oylama ayrıntılarının tümü kamuya ifşa edildi. Etnik köken ve din detayları da paketteydi.

Güvenlik açığını fark eden yine Chris Vickery oldu. Tüm bilgilerin herhangi bir güvenlik prosedürü söz konusu olmaksızın bir bulut sunucusunda tutulduğunu paylaştı.