Yandex’ten ‘Kendi Çalışanı Kaynaklı’ Veri İhlali

Rusya-Hollanda merkezli arama motoru, internet üzerinden paylaşımlı yolculuk ve e-posta hizmeti sunan Yandex, 4.887 adet hesabı etkileyen büyük bir veri ihlali yaşandığını açıkladı. Şirket, adı açıklanmayan bir çalışanın kişisel çıkar için kullanıcıların e-posta kutularına izinsiz erişim sağladığını kaydetti. Yandex tarafından yapılan açıklamada, çalışanın hizmete teknik destek sağlanması için erişim hakkı verme yetkisi bulunan üç sistem operatöründen biri olduğu belirtildi. Güvenlik ihlalinin tam olarak ne zaman yaşandığı ve sistem operatörünün ne zaman yasa dışı erişim izni sunmaya başladığı bilinmiyor.

Yandex, ihlalin güvenlik ekibi tarafından rutin olarak gerçekleştirilen bir sistem denetiminde tespit edildiğini, kullanıcıların banka hesap bilgilerine erişildiğine dair bir delil bulunmadığını ve hesaplarına izinsiz erişim sağlanan tüm kullanıcıların uyarıldığını not düştü.

Yandex, kapsamlı bir iç denetimin başlatıldığının ve idari süreçler üzerinde değişiklikler yapılacağının altını çizdi. Yapılacak değişiklikler kapsamında tek bir yetkilinin izni ile kullanıcı verilerinin güvenliğinin tehdit altına girmesi olasılığının ortadan kaldırılacağı ve yasal yetkililer ile konu hakkında iletişime geçildiği ifade edildi.

İçten sızıntılar şirketleri tehdit ediyor 

Yandex’in maruz kaldığı içten saldırı, bugüne kadar şirketlerin finansal veya prestij kaybına neden olmasıyla sonuçlanan ilk yasa dışı eylem değil. ABD’nin Dallas kentinde 35 yaşında bir teknisyen, geçtiğimiz ay evlere kurduğu kamera sistemlerine defalarca müdahale ederek hanelerde yaşayanların özel hayatlarını izlediği için dolandırıcılık ve ihlalci görsel kayıt suçlarından hüküm giydi. Teknisyen, çalıştığı ADT şirketinden Nisan 2020’de kovulmuştu.

Aralık 2020’de ise eski bir Cisco çalışanı izin olmadan 16.000 Webex hesabını sildiği için 24 ay hapse mahkûm edildi. Mühendisin eylemi Cisco’ya 2,4 milyon dolardan fazla mali zarar verirken, bu zararın 1 milyon doları çalışma vakti ve 1 milyon doları müşterilere ödenen tazminatlardan oluştu.

Amazon ise Ekim 2020’de bir çalışanını, müşterilere ait kullanıcı isimleri ve e-posta adreslerini sattığının ortaya çıkmasının ardından kovdu. Ancak en nihayetinde bir veri ihlali yaşanmış oldu.

Siber güvenlik şirketi TrendMico ise Kasım 2019’da “yoldan çıkan” bir çalışanın siber suçlulara 68 bin müşterinin verilerini sattığını ortaya çıkarmıştı. Aynı çalışanın, daha sonrasında müşterileri TrendMicro yetkilisi olarak arayarak spam saldırılar gerçekleştirdiği de bildirilmişti…