Batı Sidney Üniversitesi’nin Microsoft Office 365 ortamının veri ihlaliyle ilgili Mayıs 2024 duyurusunun ardından WSU, Isilon depolama platformunda depolanan kişisel bilgilerin de yetkisiz erişime maruz kaldığını doğruladı. Bu platform, ‘Belgelerim’ bilgilerini, departman paylaşımlı klasörlerini ve bazı yedek ve arşivlenmiş verileri tutar.
Üniversite, resmi açıklamasında, “Isilon’a yetkisiz erişimin bireylerin kişisel bilgileri üzerindeki etkisini doğru bir şekilde anlamak için çok büyük ve karmaşık veri setini analiz ettik ve etmeye devam edeceğiz.” ifadelerine yer verdi.
Batı Sidney Üniversitesi Veri İhlali: Temel Bulgular
Üniversite, Batı Sidney Üniversitesi veri ihlaliyle ilgili olarak aşağıdaki bilgileri doğruladı:
- Erişim Kapsamı:İsilon’daki 400 dizinden 83’ünde yaklaşık 580 terabayt veriye erişildiğine dair kanıtlar bulunmaktadır.
- Zaman çizelgesi: 9 Temmuz 2023 ile 16 Mart 2024 tarihleri arasında Isilon’a izinsiz erişim gerçekleşti.
- Veriler Tehlikeye Girdi: İlk incelemede, isimler, iletişim bilgileri, doğum tarihleri, sağlık bilgileri, hassas işyeri davranışları ve sağlık ve güvenlik konuları, resmi kimlik belgeleri, vergi dosya numaraları, emeklilik bilgileri ve banka hesap bilgileri dahil olmak üzere kişisel olarak tanımlanabilir bilgilere (PII) erişildiği tespit edildi.
- WSU Veri İhlalinin Kapsamı:Şu ana kadar yapılan adli soruşturmaya göre, bu olayın Üniversite’nin Microsoft Office 365 ve Isilon ortamlarının ötesine uzandığına dair bir kanıt bulunmamaktadır.
Mevcut durum
Üniversite, gizliliğin korunması karşılığında özel bilgileri ifşa etme veya talep etme yönünde herhangi bir tehdit almadı. Ayrıca, karanlık web izlemesi verilerin yüklendiğine dair hiçbir kanıt ortaya koymadı. Düzeltme çabaları gerçekleştirildiğinden beri Isilon’a başka bir yetkisiz erişim tespit edilmedi. Üniversite, Isilon olayının failini araştırmak için yetkililerle çalışmaya devam ediyor.
Üniversite, Ocak 2024’te BT ağına yetkisiz erişimin ilk kez keşfedilmesinden bu yana, olayın tam doğasını, kapsamını ve ölçeğini belirlemek için adli soruşturmalar yürütüyor.
31 Temmuz 2024 tarihinde yayımlanan bu kamuoyu duyurusu, eski ve mevcut öğrenciler ve personel dahil olmak üzere Üniversite topluluğunu, Isilon depolama platformuna yapılan yetkisiz erişim konusunda bilgilendirmeyi amaçlamaktadır.
Üniversitenin Tepkisi ve Eylemleri
Western Sydney Üniversitesi ihlali ele almada proaktif davrandı. Üniversite, Avustralya’nın önde gelen dijital adli tıp ve olay müdahale ekibi CyberCX ve aşağıdakiler de dahil olmak üzere ilgili makamlarla işbirliği yaptı:
- Ulusal Siber Güvenlik Ofisi
- Avustralya Bilgi Komiserliği Ofisi
- NSW Bilgi ve Gizlilik Komisyonu (IPC)
- Avustralya Federal Polisi
- Avustralya Siber Güvenlik Merkezi
- Avustralya Sinyal Müdürlüğü
- Ev işleri
- NSW Polis Gücü Siber Suç Birimi, Saldırı Gücü GIRRAKOOL altında
Üniversite, topluluğunu korumak amacıyla, yetkisiz erişilen herhangi bir veriye erişimi, kullanımı, iletimi ve yayınlanmasını önlemek amacıyla NSW Yüksek Mahkemesi’nden geçici bir ihtiyati tedbir aldı.
Üniversite yönetimi ve Yönetim Kurulu, sorunu hafifletmek ve korumayı artırmak için çeşitli önlemler uyguladı, bunlar arasında şunlar yer alıyor:
- Parola sıfırlama işlemini tamamlama
- Tespit izlemeyi geliştirme
- Ek güvenlik duvarı korumasının uygulanması
- Siber güvenlik ekibinin kapasitesinin artırılması
- Veri depolama ve saklama uygulamalarının gözden geçirilmesi
Üniversite, 31 Temmuz 2024 tarihinde öğrencilere, personele ve mezunlara e-postalar göndererek doğrudan topluluğuyla iletişim kurmuş, koruyucu adımlar ve mevcut destek hizmetleri hakkında bilgi sağlamıştır.
Sonraki adımlar
Üniversite, önümüzdeki haftalarda bireyleri kişisel bilgileri üzerindeki etki hakkında bilgilendirmeye devam edecektir. Verilerin hacmi ve karmaşıklığı nedeniyle, etkilenen herkes için bireysel bildirimler mümkün olmayabilir.
Kamu bildirimi, toplumun verilerine erişilmiş olabileceğine dair herhangi bir işarete karşı uyanık olmasını sağlamayı amaçlamaktadır. Üniversite, kimlik hırsızlığından kendilerini korumak konusunda endişe duyanlara ücretsiz tavsiye ve destek sunmak için Avustralya’nın ulusal kimlik ve siber destek hizmeti olan IDCARE ile anlaştı.
Kişisel bilgileri koruma hakkında daha fazla bilgi için IDCARE’i ziyaret edin veya 1800 595 160’ı arayın ve WESSYDPB24 referans numarasını belirtin. Çevrimiçi bir Yardım Alın formu da mevcuttur.
Üniversite, ek destek ve sorular için özel bir telefon hattı kurmuştur: 02 9174 6942 (Pazartesiden Cumaya, 09:00 – 16:30 AEST).
Western Sydney Üniversitesi bu konuyu şeffaf bir şekilde düzeltmeye ve soruşturma ilerledikçe toplumu bilgilendirmeye kararlıdır. Üniversite, olay ve toplum üzerindeki etkisi için kayıtsız şartsız özür diler.