2022’de ülke çapındaki araba satıcısı ağı Arnold Clark’ın sistemlerine yapılan bir siber saldırının ardından Play fidye yazılımı çetesi tarafından kişisel verileri çalınan ve kamuya sızdırılan binlerce kişi, şimdi en büyük grup davalarından biri haline gelebilecek davaya katılmak için öne çıkıyor. henüz İngiltere’de görüldü.
Olay 23 Aralık 2022’de başladı.ve ilk etkisi, Arnold Clark bayilerinin işlemleri kaydetmek için kalem ve kağıda başvurmak zorunda kalmasına neden olurken, yeni arabalarını almayı uman yüzlerce insan geçici olarak hayal kırıklığına uğradı.
Birleşik Krallık’ın en büyük ve en köklü aile otomobil satıcılarından biri olan Glasgow merkezli şirket, başlangıçta müşterilerinin verilerinin güvende olduğunu söyledi.
Ancak 22 Ocak 2023 tarihinde Pazar günü posta Play tarafından karanlık ağda 15 GB’lık bir veri dilimi sızdırıldıktan sonra durumun böyle olmadığını ortaya çıkardı.
Bu veriler, diğer şeylerin yanı sıra müşterinin fotoğraflı kimlik bilgilerini, pasaport verilerini, banka verilerini, doğum tarihlerini ve ev adreslerini içeriyordu.
Kısa bir süre sonra Arnold Clark, veri hırsızlığının kurbanı olduğunu kabul etti ve 2023 Ocak ayının sonunda kuruluş, kademeli gruplar halinde müşterilerine bildirim gönderme sürecini başlattı.
Birkaç hafta sonra, Şubat ortasında, 30 GB’lık bir veri daha gönderildi ve ardından Mart sonunda neredeyse 470 GB’a ulaşan tam veri dökümü geldi.
Eyleme, siber olay kurbanlarının tazminat almalarına yardımcı olma konusunda uzmanlaşmış bir hukuk firması olan Keller Postman öncülük ediyor – ancak diğer eylemler devam ediyor.
Siber güvenlik sektöründe çalışan Connor Hewitt, Keller Postman’ın grup çalışmasına müşteri olarak katılanlar arasında yer alıyor.
Hewitt, birkaç yıl önce Arnold Clark’tan bir araba satın aldı ve satışın bir parçası olarak, durum tespiti ve kredi kontrolleri yapabilmesi için otomobil bayisine kapsamlı kişisel olarak tanımlanabilir bilgiler (PII) sağladı. Verilerinin Şubat ortasında, olaydan birkaç hafta sonra sızdırıldığı kendisine bildirildi. Pazar günü posta hikayeyi bozdu.
Hewitt, “Bildirimi aldığımı hatırlıyorum – spor salonundaydım ve e-postanın geldiğini hatırlıyorum,” dedi. “Temel olarak, verilerinizin bir veri ihlaline dahil edildiğine inandığımız söylendi.”
Hewitt bu aşamada yalnızca biraz endişeliydi, çünkü Postalar hikayesi, üyesi olduğu iş temelli bir grup sohbetinde bazı tartışmalara yol açtı. Grup, kendisinin ve iş arkadaşlarının müşterileriyle siber güvenlik hakkında daha bilinçli görüşmeler yapmasına yardımcı olmak için ihlal bilgilerini paylaşıyor.
“Açıkçası o yazı çıktı ve aklıma ilk gelen ‘Onlardan araba aldım, acaba bilgilerim bu ihlalin bir parçası mı?’ oldu. Ve sonra… Bilgilerimin bunun bir parçası olduğunu söyleyen bir e-posta aldım” dedi.
Hewitt, o zamandan beri kendisine karşı çok sayıda dolandırıcılık girişimi yapıldığını gördüğünü söylüyor. “Çok kötü değil çünkü yaptığım işe göre onları kolayca tespit edebiliyorum – müşterilerle her zaman kimlik avı eğitimi yapıyorum” dedi.
“Instagram beğenilerinde, bağlantı içeren doğrudan mesajlarda, Facebook arkadaşlık isteklerinde ani artışlar oldu – yine biraz tehlikeli olanlar. Bana karşı 30, belki 40’ı zorlayan kredi kontrolleri yapıldı. Şirketlerden ‘Teslim edilmekte olan paketleriniz var, lütfen bu paketi kontrol edin’ ve bunun gibi şeyler demeye çalışan kısa mesajlar aldım. Bazen bir şey sipariş ettiğinizde de olur bu.”
Bu dolandırıcılık girişimlerinin çoğu son derece kabaydı ve kolayca tespit edildi, ancak birçoğu oldukça karmaşıktı ve Hewitt, olaya karışan teknolojiden daha az anlayan binlerce kişinin bu kadar şanslı olmadığının kesinlikle farkında olduğunu söyledi.
Keller Postman yardımcı avukatı Bill Singer, gerçekten de, Arnold Clark bağlantılı dolandırıcılıkların artık Birleşik Krallık’ın her yerinde ortaya çıktığını söyledi.
“Çok sayıda müşteri kimlik hırsızlığına dair kanıtlar ortaya çıkardı, örneğin yetkisiz kredi kontrolleri, bazen günde düzinelerce. Diğer müşteriler aslında dolandırıcılık yapıldığını bildirdi, ”dedi Singer.
“Çok sayıda kişi, yüksek düzeyde dolandırıcılık girişimleri, çok çeşitli kimlik avı, sosyal medya mesajları, metin mesajları yaşıyor. Pek çoğuna soğuk aramalar da yapıldı – örneğin, bankalarının dolandırıcılık departmanından gelen sahte aramalar. Çok çeşitli siber suç faaliyetleri görüyorlar.”
Singer, davacı başına ortalama kaybın ne olabileceğine dair bir rakam belirlemenin mümkün olmadığını, ancak dolandırıcılıkların başarılı olduğu durumlarda, kurbanların banka hesaplarına yüklenen birkaç sterlinlik Otomatik Borçlardan farklı değerlere sahip olduklarını söyledi. çoğu başarılı olan yüksek değerli ürün ve hizmetler elde etme girişimleri.
Davacılardan biri, biraz ironik bir şekilde, bir Volkswagen bayisinden evlerine 38.000 sterlinlik bir Golf satın aldıkları için onları tebrik eden bir mektup geldiğinde kimliklerinin çalındığını fark etti ve bu mektup kesinlikle garaj yollarına park edilmemişti.
Singer, “Dolandırıcılık ister küçük ister büyük olsun, aynı sonuçları doğurur” dedi. “Hala paranı geri alman gerekiyor. Gelecekteki dolandırıcılıklara karşı kendinizi korumak için hala fazladan zaman harcamanız gerekiyor. Etkilenen bir kredi puanınız olabilir – Tüm bu kimlik hırsızlığı girişimleri nedeniyle yeni arabalara kredi vermeyi reddeden müşterilerim var.
Etkilenenler, halihazırda potansiyel davacı olarak kaydolmuş olan 10.000’den fazla kişiye katılmaya çağrılıyor. Daha fazla ayrıntı Keller Postman’ın web sitesinde bulunabilir.
Singer, Computer Weekly’ye Arnold Clark aleyhindeki davanın potansiyel mahkeme işlemleri öncesinde hala kanıt toplama aşamasında olduğunu, ancak avukatların sorumluluk iddiasında bulunduğunu ve iddialarını Arnold Clark’a ilettiklerini söyledi. Şu anda yanıtını bekliyorlar.
Keller Postman ve müşterileri ayrıca, Arnold Clark’ın Genel Veri Koruma Yönetmeliği (GDPR) kapsamındaki yasal yükümlülüklerinden herhangi birini ihlal edip etmediğine ilişkin Bilgi Komisyonu Ofisi’nin (ICO) soruşturmasının sonucunu bekliyor.
“ICO soruşturmasının sonucunu merakla bekliyor olacağız. Biz [also] ICO’nun, üründen memnun olmayan Arnold Clark müşterilerinden gelen en az bir şikayeti araştırdığını bilin. [response to the] veri ihlali, ”dedi Singer.
“ICO’nun çok ağır para cezası yetkileri var. [and] herhangi bir ihlal onaylanırsa geniş bir para cezası bekleriz, ancak şikayet eden bireysel müşterilere herhangi bir tazminat veremezler.”
Hewitt için ideal sonuç, Arnold Clark’ın ihlalle ilgili sorumluluğu kabul etmesi ve aynı zamanda etkilenenleri adil bir şekilde tazmin etmesi olacaktır.
“Tehditleri olduğu gibi görebileceğim bir konumda olsam da…insanlar gibi oltalamaya kanacak insanlar olacak. Onları görecek ve gerçekte ne olduğunu anlamayan birçok insan için korkutucu olabilir” dedi.
Singer ekledi: “Davanın özü, Arnold Clark’ın daha fazlasını yapabileceği ve yapması gerektiğidir.”
Computer Weekly, devam eden soruşturma hakkında yorum yapmak için Arnold Clark’ın basın ofisi ile temasa geçti, ancak kuruluş yayın tarihinde yanıt vermemişti.