Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlal Müdahalesi
1,3 Milyon Kişiye Sosyal Güvenlik Numaralarının Çalındığı Bildirildi
Mathew J. Schwartz (euroinfosec) •
19 Ağustos 2024
Geçmiş kontrol firması National Public Data, 1,3 milyon kişiye, Aralık 2023’te sistemlerinde meydana gelen bir ihlal sonucunda kişisel bilgilerinin çalındığını bildirdi.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
Çalınan bilgilerin arasında bir kişinin adı, e-posta adresi, telefon numarası, Sosyal Güvenlik numarası ve posta adresi veya adresleri yer alıyor.
Florida merkezli National Public Data -resmi adı Jericho Pictures’dır- müşterilerin bir API aracılığıyla erişebildiği geçmiş ve sabıka kaydı kontrollerinin yanı sıra kişi arama ve doğrulama hizmetleri satan bir veri toplayıcısıdır. Web sitesinde “Hizmetlerimiz şu anda araştırmacılar, geçmiş kontrolü web siteleri, veri satıcıları, mobil uygulamalar, uygulamalar ve daha fazlası tarafından kullanılıyor” denmektedir.
Şirket, 10 Ağustos’ta etkilenen kişilere veri ihlali bildirimleri göndermeye başladı ve ihlalin aynı gün tespit ettikleri 30 Aralık’taki bir ihlale dayandığını söyledi.
National Public Data, kişisel bilgilerini topladığı ve daha sonra kaybettiği kişilere “finansal hesaplarını yakından takip etmelerini ve herhangi bir yetkisiz faaliyet görmeleri halinde derhal finans kuruluşlarıyla iletişime geçmelerini”, ayrıca kredi raporlarını düzenli olarak incelemelerini ve “kredi dosyanıza her yıl yenilenebilen ücretsiz bir dolandırıcılık uyarısı koymalarını” tavsiye ediyor.
Nisan ayında ihlal edilen veriler listelendi
Şirketin ihlal bildirimi, çalınan verilerin kopyalarının satışa sunulmasından dört ay sonra yapılıyor.
Nisan ayında, sosyal platform X’teki vx-underground hesabının arkasındaki araştırmacılar, çalınan veriler hakkında raporlamaya başlayan ilk kişiler arasındaydı. Verilerin “SXUL” kullanıcı adını kullanan bir tehdit aktörü tarafından çalındığını ve 8 Nisan’da siber suç pazar yeri BreachForums’da “USDoD” kullanıcı adıyla listelenen bir tehdit aktörü tarafından listelendiğini söylediler.
ABD DoD, 3,5 milyon dolar değerindeki veri setinin, Amerikalılara ilişkin 2,9 milyar satır veri içerdiğini iddia etti.
İncelemesine göre, vx-underground satışa sunulan 277,1 gigabaytlık dosyanın, gruba kişisel bilgilerini kontrol etme izni veren birkaç kişiye dayanarak en azından bazı “gerçek ve doğru veriler” içerdiğini söyledi. Araştırmacılar, veri setinin bir bireyin üç on yıla kadar veya daha uzun bir süreye ait adres geçmişini içerdiğini ve bireylerin ebeveynleri ve yakın kardeşleri, amcaları, teyzeleri ve kuzenleri ve ölmüş akrabaları da dahil olmak üzere aile ilişkilerini ayırt etmelerini sağladığını söyledi. Veri setinin National Public Data’nın devre dışı bırakma hizmetini kullanan bireylere ilişkin herhangi bir bilgi içermediği anlaşılıyor.
Bazı medya kuruluşları, veri setinin 2,9 milyar Amerikalı hakkında bilgi içerdiğini bildirdi. Birçok güvenlik uzmanı, bu karakterizasyonun birçok açıdan hatalı olduğunu söyledi, buna ABD’nin mevcut nüfusunun yalnızca yaklaşık 333 milyon kişiden oluşması da dahildir. Ayrıca, veri setindeki birden fazla satır aynı kişiye atıfta bulunabilir.
Vx-underground, veri setinin “tuhaf bir yapıya sahip olduğunu ve bu nedenle milyarlarca kayıt varmış gibi bir yanılsama yarattığını, ancak tam olarak öyle olmadığını” ve veri setinin ayrıca “birçok ölü insanı” içerdiğini, bunların arasında yirmi yıla kadar bir süre önce ölmüş kişilerin de bulunduğunu söyledi.
6 Ağustos’ta BreachForums kullanıcısı “Fenrich”, USDoD adlı kullanıcı tarafından ilk kez satışa sunulan bilgilerin en azından bir kısmını sızdırdı.
Avustralyalı veri ihlali uzmanı Troy Hunt, bu ayın başlarında sızdırılan verilerin en azından bir kısmının kopyasını aldığını bildirerek, bunların 134 milyon benzersiz e-posta adresi içerdiğini ve 2,7 milyar satır veri içerdiğini söyledi.
Bir blog yazısında, verilerin gerçekliğini incelemeye çalışırken, satırların 28’inin e-posta adresini içerdiğini, ancak yanında yanlış adlar, adresler ve doğum tarihlerinin bulunduğunu keşfettiğini söyledi. Hatalı veriler de dahil olmak üzere bilgilerin nereden geldiğinin net olmadığını söyledi.
Hunt, insanların e-posta adreslerinin bir veri ihlalinde görünüp görünmediğini görmelerini sağlayan ücretsiz Have I Been Pwned ihlal bildirim hizmetini yönetiyor. 134 milyon e-posta adresini HIBP’ye yükledi, ancak “burada açıkça bir miktar geçersiz veri var” diyerek bunu “doğrulanmamış” bir ihlal olarak işaretledi.
İncelediği veri kümesi Sosyal Güvenlik numaraları içeren dosyaları içerse de, bu belirli dosyaların e-posta adresleri içermediğini söyledi. “HIBP aracılığıyla bu veri ihlaline maruz kalırsanız, SSN’nizin sızdırıldığına dair hiçbir kanıt yoktur ve benimle aynı durumdaysanız, kaydınızın yanındaki veriler doğru bile olmayabilir,” dedi.
Dava Haksız Zenginleşme İddiaları
National Public Data, şirketin çalınan bilgilerin kaynağı olduğunu doğrulamasından önce açılan ihlal nedeniyle en az bir toplu dava ile karşı karşıya.
1 Ağustos’ta, Kaliforniya sakini Christopher Hofmann, Florida Güney Bölgesi ABD Bölge Mahkemesi’nde National Public Data’ya karşı bir şikayette bulundu. Hofmann, 24 Temmuz’da bir kimlik hırsızlığı izleme hizmeti sağlayıcısı tarafından kişisel bilgilerinin karanlık bir web sitesinde bulunduğu ve bu bilgilerin nationalpublicdata.com.
Davasında National Public Data’yı ihmal, haksız kazanç ve mağdurlara şikayetini sunduğu zamana kadar bildirimde bulunmamak gibi diğer yasal ihlallerle suçluyor. Hofmann parasal tazminat talep ediyor ve şirketin etkilenen tüm verileri temizlemesini, gelecekteki koleksiyonları şifrelemesini ve yıllık üçüncü taraf değerlendirmeleri de dahil olmak üzere sıkı siber güvenlik önlemleri uygulamasını talep ediyor.