Yemek Siparişi Sitesindeki Kayıtlı Adres Bilgilerinin Siber Saldırı ile Ele Geçirilmesinin Potansiyel Sonuçları 

Yemek siparişi sitesinin geçtiğimiz Mart ayında siber saldırıya uğradığı resmi kanallarla açıklanmıştı. Nisan ayında yapılan bir başka açıklamada saldırı sonucunda 21 milyon 504 bin 83 kullanıcının çeşitli verilerinin siber korsanlar tarafından ele geçirildiği kaydedilmişti. Saldırının detayları ise ilgili sitenin web uygulama sunucusundaki güvenlik açığından* yararlanıldığı, uygulama kurulduğu ve uzaktan komut çalıştırılması suretiyle sunucuya erişim sağlandığı şeklinde belirtilmişti. İnternetten yemek siparişi şirketi, sunucuya erişim ile birlikte kullanıcı veri tabanının ‘bir kısmının’ ele geçirildiğini ifade etmiş ve bunları aşağıdaki başlıklar altında sıralamıştı:

• İsim-soy isimler,
• Doğum tarihleri,
• Kayıtlı telefon numaraları,
• Kayıtlı e-posta adresleri,
• Kayıtlı ev ve iş adresi bilgileri,
• SHA-256 algoritmasıyla şifrelenmiş kullanıcı şifreleri.

Sistemde kayıtlı kredi kartı bilgilerinin şirket tarafından saklanmadığı ve ödeme altyapısının bir finansal hizmet sağlayıcısı veri tabanında tutulduğu detayı da halihazırda bilinmekteydi. Böylelikle kredi kartı bilgilerinin çalınmadığı bilgisi paylaşıldı.

Bu kapsamda veri sızıntısı ile birlikte kayıtlı ev ve iş adreslerinin siber korsanlar tarafından yasa dışı yolla elde edildiği görülüyor. Peki siber korsanlar tarafından ele geçirilen kayıtlı adres bilgilerinin kayıtlı kullanıcılara güvenlik açısından etkileri neler olabilir?

Olası sonuçlar

20 milyondan fazla kullanıcının lokasyon bilgilerinin kötü niyetli kimselerin eline geçtiği görülüyor. Peki çalınan bu bilgilerle neler yapılabilir?

• Sahte kimlikler yaratılabilir,
• İkametgahlar oluşturulabilir,
• Çalınan kimseler adına kredi çekilebilir,
• Kefil olunabilir,
• Şirket kurulabilir, ofis adresi olarak bunlar gösterilebilir. İllegal işlerde baskınlar yanlış adreslere yapılmış olur gibi birçok senaryo devreye girer.
• Fiziksel adrese sahte polis, vb. kılığında gelinebilir ve farklı dolandırıcılık yöntemlerine başvurulabilir.
• Bilgiler kategorilendirilerek (İstanbul-Şişli’de yaşayan erkekler/kadınlar gibi) çeşitli amaçlar doğrultusunda kullanılabilir.
• Veri, big data formunda analiz edilerek bu alandaki şirketlere satılabilir. Kuruluşlar bunu analiz edip müşteri lokasyon profillerini çıkarıp rakip, vb. firmalara satabilir.
• Siber korsan veya korsanlar bu bilgilerle, daha önceden yine farklı kaynaklardan elde ettiği dataları birleştirerek eksik data profillemesini tamamlayabilir. Birinin adı vardır, adresi yoktur; adres eklenir ve data, en nihayetinde daha kapsamlı hale getirilir.
• Siber korsan veya korsanlar çaldıkları verileri, darkweb üzerinden satışa çıkarabilir, burada yine rakip ya da sektördeki ilgili firmalar kripto para transferi ile bu değerli adres bilgilerini satın alabilir.
• Veriler, çalınan firmaya şantaj yapılması amacıyla kullanılabilir. Yani firmadan verilerin geri verilmesi koşuluyla fidye talebinde bulunulabilir. Bu tip durumlarda kötü niyetli kişilere fidyenin ödenmesi, verilerin firmaya iade edilmesini garantilemez.
• Bilgiler herhangi bir amaçla (firmanın saygınlığının azaltılması, politik nedenler, vb) direkt olarak ifşa edilebilir.

Bu kapsamda spesifik ‘yasa-dışı’ kullanım alanlarının sayısı yukarıdakilerle sınırlı değil ve her geçen gün artıyor. Örneğin kimi avukatlar, bu veri setlerini darkweb üzerinden satın alıp kullanmak isteyebiliyor. Kişisel bilgiler kullanılarak yasal adreslerden ziyade direkt olarak kişinin sıklıkla bulunduğu adreslere erişebiliyorlar. Bu sayede örneğin icra davalarında daha hızlı ve kolay yoldan ihtarnameler çekebiliyorlar.

Veri ihlaline maruz kalan kişiler nasıl korunabilir?

Bilgi güvenliği, “öneme sahip veya değerli bilginin korunmasına yönelik çabaların tümü” şeklinde özetlenebilir. Bu bağlamda şirketlerin uğradıkları siber saldırılar sonucunda ele geçirilebilen kişisel verilerin ne gibi amaçlarla kullanılabileceğine yukarıda kısaca değinildi. Kötü niyetli kişilerin belirli amaçları doğrultusunda kullanabileceği adres bilgileri, ilgili kişiler açısından son derece tehlikeli senaryoları beraberinde getiriyor.

Mevcut olasılıklar baz alındığında banka hesapları, bankacılık işlemlerine ilişkin dokümanlar, kamusal işlemlerin, başvuruların, vb. kontrol edilebildiği e-devlet, UYAP gibi platformların belirli aralıklarla incelenmesi önerilir. Bu noktada e-posta, SMS mesajı gibi iletişim kanallarına çeşitli işlemlere dair bilgilendirici iletiler gelebilir, bunların da gözardı edilmemesi gerekir.

* Güvenlik açıkları, yetersiz fiziki güvenlik ve zayıf tasarıma sahip ağlar gibi eksikliklerle, sistem/sistem parçalarının verilebilecek zararlara açık olmasıdır. Açıklar, tek başına tehdit oluşturmaz, tehlikenin gerçekleşmesi için üstteki örnekte görüldüğü gibi (uygulama kurulması ve komut çalıştırılması suretiyle sunucuya erişim…) bir dizi adımın atılması koşuldur. Açıklardan bahsedildiğinde akla gelecek noktalar şu şekildedir;

Donanımsal açıklar: Eski ve güncellenmemiş sistemler, saklama ortamlarındaki problemler, donanımlardaki bozulmalar; ısı, nem ve toz kaynaklı duyarlılığın gözardı edilmesi ile periyodik bakım/değişimlerde yönetim eksikliği, vb.

Yazılımsal açıklar: Bahsi geçen vakada yaşanılan açık, yazılımsal açıktır. Yanlış erişim izinleri, yama(patch) yönetimi eksikliği, izinsiz yazılım yüklenmesi, parola ve erişim yönetiminde sorunlar.

Personel ile ilgili açıklar: Eğitim eksikliği, güvenlik farkındalığı eksikliği, donanım veya yazılımların yanlış kullanımı. Bahsi geçen vakada personel ile açıklar da söz konusu olabilir. Zira siber saldırının kısa sürede değil, bir haftadan daha uzun süre sonra fark edildiği biliniyor.

Fiziksel açıklar: Kurum binası ya da odasındaki yetersiz fiziksel kontrol, eksik tedbirler. Bahsi geçen açıkta fiziksel açık sorunu da yaşanmış olabilir.