Jeo-Özel, Mevzuat ve Dava, Standartlar, Yönetmelikler ve Uyumluluk
Avustralya İletişim ve Medya Kurumu, Bilgisayar Korsanlarının Kodlama Hatasından Yararlandığını Açıkladı
Jayant Chakravarti (@JayJay_Tech) •
21 Haziran 2024
Avustralya’nın en büyük ikinci telekomünikasyon taşıyıcısı Optus’tan 10 milyon kaydın sızdırılmasının ardındaki bilgisayar korsanları, şirketin dört yıl önce farkında olmadan bir web portalı erişim kontrolüne yerleştirdiği bir güvenlik açığından yararlandı.
Avustralya telekom düzenleyicisi tarafından yapılan bir araştırmada, bilgisayar korsanlarının Eylül 2022’de Optus müşteri portalını bir arka uç veritabanına bağlayan uygulama programlama arayüzünü koruyan erişim kontrolünde bir “kodlama hatası” bulduğu belirtildi. Gözlemci API URL’sinin şunu söyledi: api.www.optus.com.au – 2017 yılından beri aktif olarak kullanılmamaktadır.
Singtel’e ait şirketteki veri ihlalinin “çok karmaşık olmadığı veya ileri düzey beceriler veya özel veya dahili bilgi gerektiren bir durum olmadığı” belirtildi. Avustralya İletişim ve Medya Otoritesi Çarşamba günü kamuya açıklanan bir mahkeme dosyasında şunları söyledi.
“Basit bir deneme yanılma süreciyle gerçekleştirildi.”
Düzenleyici, Mayıs ayında Optus’a, telekom şirketinin hassas müşteri verilerini yetkisiz erişime karşı koruyamadığını iddia ederek dava açtı (bkz: Avustralya Telekom Gözlemcisi Optus’a 2022 Veri İhlalinden Dolayı Dava Açtı). 3,6 milyon aktif Optus abonesine ait sızdırılan kayıtlar adına ceza talep ediliyor.
Düzenleyici, Eylül 2018’de bir geliştiricinin hem API URL’sini hem de ana portal alanını bilgisayar korsanlığına açık bırakan bir erişim kontrolü kodlama hatası yaptığını söyledi. Optus, güvenlik açığını Ağustos 2021’de düzeltti; böylece bilgisayar korsanları ana portala erişemedi ancak API alanı için “aynı sorunu tespit edemedi veya düzeltemedi”.
Daha sonra bir suç ihlali forumunda “Optusdata” takma adını kullanan bir bilgisayar korsanı, 17 Eylül 2022 ile 20 Eylül 2022 arasındaki kodlama hatasından yararlandı (bkz.: Optus Saldırganı 1,5 Milyon Avustralya Doları değerindeki Gasp Girişimini Durdurdu).
Veri ihlali, aktif abonelerin tam adlarını, telefon numaralarını, doğum tarihlerini ve e-posta adreslerini içeriyordu. Veri sızıntısında en aktif abonelerin fiziksel adresleri de yer aldı ve aktif abonelerin çoğunluğu için ehliyet numarası veya doğum belgesi bilgileri gibi tanımlayıcı bilgiler de sızdırıldı.
Geçici Optus CEO’su Michael Venter, olayın müşterilerin güvenini önemli ölçüde zedelediğini ve şirketin etkilenen müşterilere kredi izleme hizmetleri sağlamaya ve kimlik belgelerinin değiştirilmesi masraflarını karşılamaya devam ettiğini söyledi.