Fransa Futbol Federasyonu (FFF), üyelere ve lisans sahiplerine ait kişisel verilerin çalınmasıyla sonuçlanan önemli bir siber güvenlik olayını doğruladı.
Federasyon, siber suçluların ülke çapındaki futbol kulüplerinin üyelikleri ve günlük operasyonları yönetmek için kullandıkları merkezi yönetim yazılımına sızdığını ortaya çıkardı.
Açıklamaya göre ihlal, bir yazılım güvenlik açığının sonucu değil, güvenliği ihlal edilmiş bir kullanıcı hesabı aracılığıyla elde edilen yetkisiz erişimden kaynaklandı.
Güvenliği ihlal edilen bu kimlik bilgisi, saldırganlara yönetici ayrıcalıkları vererek, sistemde gezinmelerine ve izinsiz giriş durdurulmadan önce hassas veritabanlarına sızmalarına olanak tanıdı.
Çalınan Verilerin Kapsamı
FFF, ihlalin belirli veri kümeleriyle sınırlı olduğunu belirtmiş olsa da, açığa çıkan bilgiler son derece hassas, kişisel olarak tanımlanabilir bilgilerdir (PII). Federasyon, saldırganların kulüp üyelerine ilişkin aşağıdaki bilgilere erişip bunları çaldığını doğruladı:
- Tam adlar (Ad ve Soyadı)
- Doğum tarihi ve yeri
- Cinsiyet ve Uyruk
- Posta adresleri ve E-posta adresleri
- Telefon numaraları
- Lisans numaraları
Bu spesifik veri kombinasyonunun açığa çıkması, etkilenen bireyler için “tam kimlik” profili oluşturarak kimlik hırsızlığı ve hedefli sosyal mühendislik saldırıları riskini önemli ölçüde artırıyor.
İzinsiz faaliyetin tespit edilmesi üzerine FFF güvenlik ekipleri derhal savunma önlemi aldı. Güvenliği ihlal edilen yönetici hesabı, erişimi kesmek için devre dışı bırakıldı ve saldırganların yana doğru hareket etmesini önlemek için tüm yazılım platformunda zorunlu bir parola sıfırlama uygulandı.
Fransız yasalarına ve GDPR gerekliliklerine uygun olarak FFF, suç eylemiyle ilgili resmi bir şikayette bulundu. Ayrıca ilgili düzenleyici makamlara, özellikle Fransa Ulusal Siber Güvenlik Ajansı’na (ANSSI) ve Ulusal Bilişim ve Özgürlük Komisyonu’na (CNIL) bildirimde bulundular.
Federasyon şu anda, e-posta adresleri sızdırılan veritabanında bulunan tüm kişilerle doğrudan iletişim kuruyor.
FFF, tüm lisans sahiplerine kimlik avı girişimlerine karşı dikkatli olmaları konusunda güçlü bir tavsiye yayınladı. Güvenlik uzmanları, tehdit aktörlerinin genellikle resmi kaynaklardan (bu durumda FFF’den veya yerel bir kulüpten) geliyor gibi görünen ikna edici e-postalar veya SMS mesajları oluşturmak için çalıntı kişisel bilgileri kullandığı konusunda uyarıyor.
Üyelerin, banka bilgileri, şifreler isteyen veya eklerin açılmasını talep eden her türlü iletişime aşırı şüpheyle yaklaşmaları tavsiye edilir.
Federasyon, spor sektörünü hedef alan “sayıları giderek artan ve yeni siber saldırı biçimleriyle” başa çıkabilmek için güvenlik önlemlerini sürekli güçlendirdiğini vurguladı.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
