2023’te Capita’daki sistemleri etkileyen iki farklı siber olayda kişisel verilerinin ele geçirildiğine inanan sıradan insanlar; bunlardan biri Black Basta sendikası tarafından üstlenilen bir fidye yazılımı saldırısı; diğeri ise güvenli olmayan bir AWS S3 klasöründe depolanan verilerin kazara sızması – Manchester merkezli Barings Yasası tarafından yürütülen grup davası ilerledikçe İngiltere ve Galler Yüksek Mahkemesi’ne gidiyor.
Dış kaynak devine karşı yasal işlemler 12 Ocak 2024’te resmi olarak başlatıldı ve Barings Law şu anda 5.000’den fazla kişiyi temsil ediyor. Her gün yaklaşık 50 yeni davacının öne çıktığı iddia ediliyor.
Hukuk firması, kendi soruşturmalarında ele geçirilen e-postalar, pasaport verileri, ev adresleri ve mağdurun banka hesapları aracılığıyla yapılan hileli satın alımlar da dahil olmak üzere “endişe verici potansiyel bilgi ihlalleri” bulduğunu söyledi.
“Yüksek Mahkeme davamız, mahremiyeti tehlikeye giren binlerce sıkıntılı bireyin kaygılarını yansıtan çok şey ifade ediyor. Barings Law veri ihlali başkanı Adnan Malik, “Şirketlerin hepimizin güvendiği dijital güveni korumaya öncelik vermesini sağlamanın zamanı geldi” dedi.
“Veri ihlalleri sadece birler ve sıfırlardan ibaret değil; bunlar yaşamlarla ve insanların kuruluşlara duyduğu güvenle ilgilidir. Capita veri ihlali sadece bir vaka değil; bu, şirketlerin hassas bilgilerin korunmasına öncelik vermeleri konusunda bir uyandırma çağrısıdır ve adalet yerini bulana kadar dinlenmeyeceğiz.”
Malik, bunun potansiyel olarak Birleşik Krallık’ta şimdiye kadar görülen en büyük veri ihlallerinden biri olabileceğini söyledi. “İnsanların emekli maaşlarının etkilenmesinin yanı sıra, müşterilerimizin ifadeleri, potansiyel devasa mali etkilerden son derece hassas ayrıntıların tehlikeye atılmasına kadar çok endişe verici bazı ayrıntıları ortaya koyuyor.”
“Veri ihlalleri sadece birler ve sıfırlardan ibaret değil; bunlar yaşamlarla ve insanların kuruluşlara duyduğu güvenle ilgilidir. Capita veri ihlali sadece bir vaka değil; bu, şirketlerin hassas bilgilerin korunmasına öncelik vermesi için bir uyandırma çağrısıdır ve adalet yerini bulana kadar dinlenmeyeceğiz”
Adnan Malik, Barings Hukuku
Black Basta siber saldırısının maliyetinin 15 milyon £ ile 20 milyon £ arasında olmasını bekleyen Capita, daha önce çalındığını bildiği verilerin son derece sınırlı olduğunu ve genel sunucu varlığının %0,1’inden daha azından alındığını söylemişti.
Bununla birlikte, Hartlink emeklilik yönetimi platformunu kullanan birden fazla emeklilik fonu ve NHS İngiltere de dahil olmak üzere, azımsanmayacak sayıda müşterisi etkilendi. Güvenli olmayan Amazon paketi aracılığıyla ortaya çıkan ihlal, benzer şekilde yerel yetkilileri de etkiledi ve yardım talebinde bulunanların ayrıntılarını içeriyordu.
Malik şunları ekledi: “Capita’nın bu siber saldırıda mağdur olduğunu kabul etmekle birlikte, bunun onlara maliyetinin tahmini 20 milyon £ olması, önemli olmasına rağmen, geniş kaynakları göz önüne alındığında neredeyse önemsiz görünüyor.
“Tersine, hayat çabalarına terlerini ve ruhlarını döken dirençli müşterilerimiz, şimdi yorulmadan inşa etmek için çalıştıkları her şeyi kaybetmenin yürek burkan gerçeğiyle yüzleşiyor” dedi.
“Adalet arayışımız sadece bir mesaj vermekle kalmıyor; insanı boşluğa doğru kükrüyor; veri ihlalleri, yankı uyandıran ve dokunaklı bir hatırlatma işlevi gören bir bedeli kesinleştiriyor; şirketleri eylemlerine empati katmaya, ellerindeki kişisel verileri korumaya teşvik ediyor.”
Capita’nın bir sözcüsü Computer Weekly’ye şunları söyledi: “Siber olaydan kaynaklanan, karanlık ağda veya başka bir yerde dolaşımda olan herhangi bir bilginin kanıtı yok ve Capita verilerini dolandırıcılık faaliyetleriyle ilişkilendiren hiçbir kanıt yok. Devam eden belirli hukuki konular hakkında yorum yapmasak da, Capita’ya karşı dava açmak için geçerli herhangi bir dayanak olduğuna dair her türlü öneriyi şiddetle reddediyoruz.”