Yakın zamanda güvenlik araştırmacısı Jeremiah Fowler ve Website Planet araştırma ekibi tarafından 9.098.506 kredi kartı işlemi kaydı içeren açık ve korumasız bir veritabanı keşfedildi.
Bu verilerde Kişisel Olarak Tanımlanabilir Bilgiler (PII) gibi bir dizi temel bilgi vardı. Ayrıca, bu işlemlerin çoğunluğunun aşağıdakilere yapılan bağışlar veya düzenli ödemeler olduğu tespit edilmiştir:-
- Dini kuruluşlar
- Yardım kampanyaları
- Kâr amacı gütmeyen gruplar
California merkezli bir kredi kartı işleme şirketi olan Cornerstone Payment Systems, edinebildiğimiz veri tabanının sahibi olarak belirlendi. Araştırmacıların bildiriminin ardından, halkın bilgiye erişimini derhal kısıtladılar ve bu hatayı bildirdikleri için kendilerine çok teşekkür ettiler.
Kredi ve finansal bilgileri içeren siber suçlarla ilgili özel bir tehlike, tehdit aktörlerinin aşağıdaki verileri kullanarak bir hedef profili oluşturma becerisidir:-
- Kredi kartı numaraları
- Hesap Bilgileri
- İşlem Bilgileri
- İsimler
- Kişiler
- bağış yorumları
Kimlik avı saldırıları ve sosyal mühendislik saldırıları daha sonra bu suçlular tarafından başlatılabilir. Sosyal mühendisliği içeren siber saldırılar, tüm saldırıların %98’ini oluşturuyor.
Maruz Veritabanı İçeriği
Aşağıda, bu açık veritabanının içerdiği tüm önemli bilgilerden bahsetmiştik: –
- 9.098.506 Açığa Çıkan Kayıt Sayısı
- Tüccarlar
- Kullanıcılar
- müşteri adları
- Fiziksel adresler
- E-mail adresleri
- Telefon numaraları
- 3.641 Gmail adresi
- 1.194 Yahoo adresi
- Az sayıda MSN
- Comcast
- Diğer sağlayıcılar veya özel e-posta sunucuları
- Kısmi kart numaraları
- kart türü
- Geçerli tarihler
- Bağış detayları
- Yinelenen ödemeler
- Yorumlar
- Dolar miktarı
- bağış nedeni
- Elektronik çek ödeme verileri
- Banka isimleri
- Kontrol numaraları
- Yetkilendirme belirteçleri
- İsimsiz bağışçılar
Kredi kartlarının işlenmesinin, işlemlerin onaylanması veya reddedilmesi ile bağlantılı olarak kredi kartı sahipleri hakkında hassas bilgilerin iletilmesini içerdiğine dikkat etmek önemlidir.
Kredi kartı bilgilerinin korunmasını kapsayan PCI DSS gibi kredi sektörü uyumluluk standartları katıdır.
Suçlular, onları dolandırmak ve para kaybına neden olmak için müşterilere ulaşabilir ve meşru tüccarlar veya kuruluşlar gibi davranabilir.
Bilgiyi yalnızca kurbanın bağışta bulunduğu grubun veya kurbanın mallarını satın aldığı tüccarın bilebileceği düşünüldüğünde, kurbanın aramadan şüphe etmesi için çok az neden olacaktır.
Aslında, bilgisayar korsanlarının kanun dışı taktikler benimsemesi ve avantaj elde etme girişiminde belirli kişileri hedef alması alışılmadık bir durum değildir.
Bu nedenle, kişisel olarak tanımlanabilir bilgileri toplayan ve saklayan herhangi bir kuruluşun, hassas bilgilerinin korunmasını sağlamak için sağlam şifreleme yöntemleri kullanması ve ayrıca diğer güvenlik önlemlerini uygulaması zorunludur.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin