Güvenlik Araştırmacısı Jeremiah Fowler, bir evlat edinme ajansından yüksek kişisel bilgiler içeren çevrimiçi olarak erişilebilir bir veritabanı buldu.
Maruz kalan bulut depolamasını bulma konusunda uzmanlaşmış olan Jeremiah, maruz kalan hassas bilgileri bulmak için kullanılır. Ancak, bilginin doğası nedeniyle, bu hemen endişesini artırdı ve verilere kimin sahip olduğunu bulmak için acele etti.
Araştırma, veritabanının Fort Worth (TX) tabanlı kar amacı gütmeyen Gladney Evlat Edinme Merkezi’ne ait olduğunu gösterdi. Ajansı bildirdikten sonra, ertesi gün veritabanı güvence altına alındı. Umarım o zamandan önce kimse bulamadı.
Toplamda, şifrelenmemiş ve geçiş dışı korunan veritabanı, çocukların isimleri, doğum ebeveynleri, evlat edinen ebeveynler ve vaka notları gibi potansiyel olarak hassas diğer bilgileri içeren 1.115.061 kayıt içeriyordu.
Bu tür verilerin sızması ve potansiyel olarak siber suçluların eline düşme riskleri çok büyük. Evlat edinme ile ilgili verilerin duyarlılığı, bu maruziyetleri hem çocuklar hem de aileler için özellikle zarar verici hale getirmektedir, çünkü evlat edinme kayıtları genellikle çocuklar, doğum ebeveynleri, evlat edinen ebeveynler ve ajans personeli hakkında son derece kişisel bilgiler içerir.
Bu tür bilgilere ellerini alan suçlular, çok özel bilgilerle kimlik avına girebilir ve sorgularını akla yatkın hale getirebilir. Ve bazı durumlarda, bilgiler gasp veya kimlik hırsızlığı için kullanılacak kadar hassas olabilir.
Araştırmacı notları:
“Kayıtlar tam vaka dosyaları içermiyordu ve halka açık kayıtlar düz metin ve benzersiz tanımlayıcıların bir kombinasyonuydu.”
Benzersiz tanımlayıcıların mutlaka bir güvenlik artışı olmadığını açıklamaya devam ediyor.
“Siber güvenlik perspektifinden bakıldığında, bir UUID gizlilik değil benzersiz kimlik için tasarlanmıştır ve potansiyel olarak tahmin edilebilir, tersine mühendislik veya numaralandırılabilir. UUID’lerin hassas verileri korumak için kullanılması önerilmez.”
Gladney gibi bir evlat edinme merkezinin uzun süredir itibarı göz önüne alındığında, insanlar kişisel bilgilerini paylaşmaktan emin. Bu güven miktarını sağlayan kişiler, bir çevrimiçi veritabanını şifre ile güvence altına almak kadar temel bir şey tarafından hayal kırıklığına uğratmamalıdır.
Veritabanının Gladney’in kendisi veya üçüncü taraf sağlayıcı tarafından maruz bırakılıp maruz kalmadığı bilinmediğine dikkat edilmelidir.
Wired, Gladney’in baş işletme görevlisi tarafından neyin yanlış gittiğini belirlemede çok yardımcı olmayan bir açıklama yayınladı:
“Gladney Evlat Edinme Merkezi güvenliği ciddiye alıyor. Her zaman herhangi bir olayla ilgili ayrıntılı bir soruşturma yürütmek için dış bilgi teknolojisi uzmanlarının yardımıyla çalışıyoruz. Veri bütünlüğü ve operasyonları en önemli önceliğimizdir.”
Bir veri ihlali sonrasında kendinizi korumak
Bu veritabanının siber suçlular tarafından güvence altına alınmadan önce bulunduğuna dair hiçbir belirti olmasa da, olabilir. Veri ihlalinin kurbanı varsa veya şüpheliyseniz veya şüphelendiğiniz bazı eylemler vardır.
- Satıcının tavsiyesini kontrol edin. Her ihlal farklıdır, bu nedenle neler olduğunu öğrenmek için satıcıya danışın ve sundukları özel tavsiyeleri takip edin.
- Şifrenizi değiştirin. Çalınan bir şifreyi hırsızlara değiştirerek işe yaramaz hale getirebilirsiniz. Başka bir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için birini seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Mümkünse, ikinci faktörünüz olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. Bazı iki faktörlü kimlik doğrulama formları (2FA) bir şifre kadar kolay bir şekilde yinelenebilir. Bir FIDO2 cihazına dayanan 2FA yinelenemez.
- Sahte satıcılara dikkat edin. Hırsızlar, satıcı olarak poz vererek sizinle iletişime geçebilir. Mağdurlarla iletişim kurup duymadıklarını ve farklı bir iletişim kanalı kullanarak sizinle iletişim kuran herkesin kimliğini doğrulamak için satıcı web sitesine bakın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız insanları veya markaları taklit eder ve kaçırılan teslimatlar, hesap süspansiyonları ve güvenlik uyarıları gibi acil dikkat gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşünün. Sitelerin kart bilgilerinizi sizin için hatırlamasını sağlamak kesinlikle daha uygundur, ancak bu bilgileri web sitelerinde saklamamayı şiddetle tavsiye ederiz.
- Kimlik izleme ayarlayın. Kimlik izleme, kişisel bilgilerinizin yasadışı olarak çevrimiçi işlem gördüğü ve sonra iyileşmenize yardımcı olduğu takdirde sizi uyarır.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.