İhlal Bildirimi, Güvenlik Operasyonları
Mart Ayında Tespit Edilen 8 Haftalık İhlal Konusunda Bu Hafta 539.207 Çalışan Uyarıldı
Mathew J. Schwartz (euroinfosec) •
31 Ağustos 2023
Siber güvenliğin ikiyüzlülüğü asla iyiye işaret değildir, özellikle de üzerinde adınızın yazılı olduğu damgalı bir mektupla geldiğinde.
Ayrıca bakınız: Tedarik Zinciri Riskinin Değerlendirilmesi ve Azaltılması
Bonus, bir şirketin size “kişisel bilgilerin gizliliğini ve güvenliğini ne kadar ciddiye aldığını” anlatmak istediğinde endişelenir.
“Harika” diye düşünebilirsiniz. “Ben de.”
Ancak mektubun kaçınılmaz olarak tam tersini ima eden bir şey söylemeye devam etmesi dışında. İşte bir ipucu: “Yetkisiz üçüncü taraf, belirli Forever 21 sistemlerinden seçilmiş dosyaları elde etti.”
Yarım milyon şanslı kişi, bu hafta Forever 21 tarafından gönderilecek böyle bir mektubun alıcısı olacak. 1984 yılında kurulan hazır giyim perakendecisi Los Angeles merkezli ve bu hafta itibariyle Sparc Group’a ait. üçüncüsü Çinli eski rakip hızlı moda perakendecisi Shein’e ait. Forever 21’in dünya çapında 540 mağazası bulunuyor ve bunların çoğu Amerika Birleşik Devletleri’nde.
İşte son ihlalin gerçekleri:
- Kurbanlar: Forever 21 Salı günü, 539.207 mevcut ve eski çalışanına, bir saldırganın “harici sistem ihlali” yoluyla kişisel bilgilerini çaldığını bildirmeye başladı. İhlalin nasıl gerçekleştiği ve çalınan verilerin yaşı belirtilmedi.
- Tespit etme: Perakendeci, güvenlik ihlalini 20 Mart’ta tespit ettiğini ve soruşturma için dışarıdan siber güvenlik uzmanlarını çağırdığını söyledi. Soruşturmaları 4 Ağustos’ta sona erdi; bu, özellikle kişisel bilgilerin çalınması durumunda, bir ihlal soruşturmasının sürmesi için nispeten uzun bir süre.
- Bulgular: Müfettişler, 5 Ocak ile 21 Mart tarihleri arasında saldırganların birden fazla sisteme eriştiğini ve birden fazla dosyayı çaldığını tespit etti. Daha sonra “dosyalarda kişisel bilgileri bulunabilecek kişileri belirlemek için” çalınan tüm dosyaları incelediler.
- Çalıntı: Sızdırılan bilgiler arasında mağdurun adı, Sosyal Güvenlik numarası, doğum tarihi, banka hesap numarası yer alıyor ancak PIN kodu bulunmuyor. Ayrıca kayıtlı oldukları plan ve ödenen primler de dahil olmak üzere sağlık planına ilişkin bilgiler de yer alıyor.
- Risk: Mağdurlar artık dolandırıcılardan kaynaklanan yüksek bir riskle karşı karşıya. Şirket mağdurlara 12 ay boyunca ön ödemeli kimlik hırsızlığı izleme hizmeti sunuyor.
Bu, Forever 21’in uğradığı ilk veri ihlali değil. 2018 yılında, “ucuz şık” perakendeci, müşterilerini, satış noktası kötü amaçlı yazılımlarını içeren yedi aylık bir saldırıya maruz kaldığı konusunda uyardı; bu saldırı, birden fazla POS terminalinde şifrelemeyi etkinleştirmediği için daha da kötüleşti.
O ‘Kanıt Yok’ Çiti
Forever 21’in en son ihlal bildirimi, çoğu zaman olduğu gibi, suçluluğu en aza indirmeye yönelik açık bir girişimde yoğun dozda pazarlama saptırması içeriyor.
Forever 21’in bildiriminde “Bu olayın sonucunda bilgilerinizin dolandırıcılık veya kimlik hırsızlığı amacıyla kötüye kullanıldığına dair hiçbir kanıtımız yok ve bunun olacağına inanmak için de bir neden yok” ifadesi yer alıyor.
Bu sık görülen ihlal bromürü mantıksal bir yanılgıdır. Ünlü gökbilimci Carl Sagan’dan alıntı yapacak olursak, “Kanıtın yokluğu, yokluğun kanıtı değildir.”
Bildirim iki kez devam ediyor: “Forever 21, yetkisiz üçüncü tarafın artık verilere erişememesini sağlamaya yardımcı olmak için adımlar attı.”
Saldırganın artık verilere erişememesi harika, değil mi? Peki gerçekten de bu belirsizlik ne anlama geliyor? Bu, perakendecinin, anahtar sistemleri güvence altına almak için çok faktörlü kimlik doğrulamayı kullanmak ve böylece verileri erişilemez hale getirmek gibi daha önce atması gereken bazı temel adımları atmış olduğu anlamına gelebilir.
Bunun yerine bu, Dissent olarak bilinen gizlilik savunucusunun gözlemlediği gibi Forever 21’in, çalınan verileri silme vaadi karşılığında saldırganına ödeme yaptığını kabul etmesine ilginç bir şekilde yakın geliyor.
Forever 21, yorum talebine hemen yanıt vermedi.
‘Ciddi’ Neye benziyor
Güvenlik uzmanları kurbanlara asla fidye ödememeleri çağrısında bulunuyor. Gerekirse (belki de ihtiyaç duyulan verileri geri yüklemenin ve işletmeyi çalışır durumda tutmanın tek yolu bu olduğu için), potansiyel olarak verileri geri yüklemeye yönelik bir şifre çözücü gibi yalnızca somut şeyler için ödeme yapmaları gerekir.
Adınızı bir veri sızıntısı sitesinden çıkarmak veya bir saldırganın çalınan tüm kopyaları sileceği konusunda serçe parmağına söz vermesi gibi başka herhangi bir şey için ödeme yapmak saçmadır. Tıpkı kurbanların, saldırganın verinin bir kopyasına artık sahip olmadığından emin olmak için gerekli adımları attıklarını iddia etmeleri gibi. Pazarlamacılara hoş gelebilir ama kanıtlanabilir bir değeri yoktur. Hiç kimse bir saldırganın çalınan verileri gerçekten sildiğini kanıtlayamadı (bkz.: Fidye Realpolitik: Veri Silinmesi İçin Ödeme Yapmak Enayiler İçindir).
İdeal olarak kuruluşlar, en azından saldırı sırasındaki kuruluşlara yardımcı olmak için, nasıl ihlal edildiklerine ilişkin net ayrıntıları da paylaşmalıdır. Ne yazık ki, ABD veri ihlali bildirim kuralları bu tür bir şeffaflığa ihtiyaç duymuyor ve bugün çok sayıda ihlal bildiriminde bu şeffaflık eksikliğini koruyor; hatta mahremiyet ve güvenliği ciddiye aldıklarını söyleyen mağdurlarda bile.