E-posta Güvenliği ve Koruması, Dolandırıcılık Yönetimi ve Siber Suçlar
Herkesin İndirmesi İçin Hacker Forum’a Gönderilen 63 GB İsimler ve E-posta Adresleri Veritabanı
Cal Harrison •
4 Ocak 2023
Geçen ay 400 milyon Twitter kullanıcısının e-posta adreslerini CEO Elon Musk’a satmaya çalışan bir suç veri ihlali forumunun bir üyesi, şimdi çalınan verileri ücretsiz olarak yayınladı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Hacker forumu web sitesindeki gönderi, 200 milyon Twitter kullanıcısının iletişim bilgilerini içerdiğini iddia ediyor – Privacy Affairs araştırmacılarına göre, yinelenen adlar kaldırıldıktan sonra 23 Aralık’ta satışa sunulan listenin kısaltılmış bir versiyonu.
Çalınan 63 GB veri, hesap adlarını, kullanıcı adlarını, oluşturma tarihlerini, takipçi sayılarını ve e-posta adreslerini içerir. Privacy Affairs’e göre bu sızıntıda telefon numaraları açıklanmadı. Bilgi Güvenliği Medya grubu, Çarşamba günü yorum yapmak için Twitter’a hemen ulaşamadı.
Aralık ayında yapılan gönderide, aralarında New York Demokrat Temsilcisi Alexandria Ocasio-Cortez, Ethereum kripto para birimi kurucusu Vitalik Buterin ve siber güvenlik muhabiri Brian Krebs’in de bulunduğu üç düzine tanınmış şahsiyetin özel e-posta adreslerini içerdiği iddia edildi. Ayrıca, bir avuç kamu kurumuna ait olan ve listelenen e-posta adresleri meşru görünen 1.000 kayıt içeren bir elektronik tablonun bağlantısını da içeriyordu.
Erkek bir avatar kullanan ve “Ryushi” adını taşıyan poster, Twitter CEO’su Elon Musk’ı AB’nin Genel Veri Koruma Yönetmeliği’nin gizlilik ihlalleri nedeniyle büyük para cezalarından kaçınmak için Aralık ayında verileri satın almaya çağırdı. Musk yanıt vermedi.
Ryushi, geçen ay kayıtların “bir güvenlik açığı nedeniyle” çalındığını söyledi. Araştırmacılar, saldırganın “başkalarının sizi telefonunuzdan bulmasına izin verin” özelliğine bağlı bir API güvenlik açığından yararlanarak verileri topladığına inanıyor. Twitter, hatayı Ocak ayında hata ödül programı aracılığıyla öğrendiğini ve hemen düzelttiğini söyleyerek Ağustos ayında ihlali doğruladı (bkz: Twitter, 5.4 Milyon Hesabı Açığa Çıkaran Zero-Day Hatasını Onayladı).
Uzmanlar, bu hafta 200 milyon e-posta adresinin sızdırılmasının, kullanıcılar için önceki sızıntılardan çok daha büyük sonuçlara yol açabileceği konusunda uyarıyor.
Privacy Affairs’in kurucusu ve CEO’su Miklos Zoltan, “Artık çok daha fazla kötü aktör bu verileri elde edebildiğinden, bu yenisi daha ciddi kabul edilebilir” diye uyarıyor. Zoltan, kullanıcılara kimlik avı e-postalarına dikkat etmelerini ve Twitter hesaplarıyla aynı parolayı kullanan diğer web siteleri ve hesapların parolalarını değiştirmelerini tavsiye ediyor.
Sadece aylar önce Twitter, ABD Federal Ticaret Komisyonu ile onu önümüzdeki yirmi yıl boyunca bir gizlilik ve bilgi güvenliği programı sürdürmeye bağlayan bir onay emri imzaladı. Anlaşma, Twitter’ın çok faktörlü kimlik doğrulama için kullanılmak üzere toplanan telefon numaralarını ve e-posta adreslerini reklam amacıyla kullanmasına yönelik federal bir soruşturmayı sona erdirdi. Twitter ayrıca 150 milyon dolar ceza ödedi. Bloomberg, özellikle üst düzey hukuk, gizlilik ve uyumluluk yöneticilerinin işten ayrılması göz önüne alındığında, ajansın Twitter’ın emre uyup uymadığına yönelik bir soruşturmayı yoğunlaştırdığını bildirdi (bkz.: Twitter, CISO’nun Kaybından Sonra Düzenleyici Riski Artırdı).
İrlanda Veri Koruma Komisyonu Aralık ayında bir soruşturma başlattığını duyurdu. ağustos olayı 5.4 milyon Twitter kullanıcısının iletişim kayıtlarının Ryushi tarafından tercih edilen aynı foruma döküldüğü (bakınız: Siber Suç Forumu, 5.4 Milyon Twitter Kullanıcısının Çalınan Ayrıntılarını Döküyor).
İrlanda veri koruma otoritesine göre Twitter, Avrupa’nın mahremiyet düzenlemesi olan ve genellikle ağır para cezalarına bağlanan GDPR hükümlerini açıkça ihlal etti. Kasım ayında İrlanda ajansı, geçen yıl yarım milyardan fazla sosyal medya kullanıcısının ayrıntılarını içeren bir veri setinin çevrimiçi olarak ortaya çıkmasının ardından Facebook’a 265 milyon avro para cezası vermesi için GDPR’ye başvurdu (bkz:: İrlanda Gizlilik Düzenleyicisi Tarafından GDPR İhlalleri Nedeniyle Meta Para Cezasına Uğradı).