“pwns3c” olarak bilinen kimliği belirsiz bir tehdit aktörü, New York Şehri veri ihlaline ait hassas verileri ve belgeleri içerdiği iddia edilen bir veritabanına BreachForums’ta satışa sunuldu.
New York Şehri web sitesi, şehir yönetiminin resmi dijital temsilinin yanı sıra uyarılar, 311 hizmetleri, haberler, programlar veya şehirle ilgili etkinlikler gibi ilgili bilgilere erişim sunar.
Gönderide öne sürülen iddialar, iddia niteliğinde olmasına rağmen, veri ihlalinin boyutu ve devlet dairesinin izlediği güvenlik uygulamaları hakkında önemli endişeler uyandırıyor.
New York Şehri Veri İhlalinin Hassas Veriler İçerdiği İddiası
Çalınan veritabanının toplamda yaklaşık 70 MB boyutunda 199 PDF dosyası içerdiği iddia ediliyor. Açığa çıkan veriler, aşağıdakiler gibi çok çeşitli kişisel tanımlayıcı bilgileri (PII) içerir: Lisans Sahibinin Seri Numarası, Son Kullanma Tarihi, Başvuru Sahibinin veya Lisans Sahibinin Adı, Ticari Adı, Sokak Adresi, Şehri, Posta Kodu, Başvuru Sahibinin Telefon Numarası ve İş E-postası Başvuru sahibi.
Üstelik veriler aynı zamanda bina sahipleri, avukatlar ve bireyler hakkında EIN, SSN ve imza gibi hassas ayrıntıları da ortaya çıkarıyor. Tehdit aktörü bu hassas bilgiyi yalnızca 30 dolara satıyor ve ilgilenen alıcılara, BreachForums içindeki özel mesajlar veya Telegram hesapları aracılığıyla onlarla iletişime geçmeleri talimatı veriliyor.
Gönderide görünüşe göre saldırıda çalındığı iddia edilen verilerin örneklerini indirmek için bağlantılar yer alıyor.
İddia edilen veri ihlali, çok sayıda kişinin kişisel bilgilerini riske attığı için geniş kapsamlı sonuçlara sahiptir. Kişisel olarak tanımlanabilir bilgilerin (PII) ve hassas belgelerin sızdırılması, bireyleri potansiyel kimlik hırsızlığı, dolandırıcılık ve diğer kötü niyetli faaliyetler risklerine maruz bırakır.
Cyber Express ekibi, onay için New York belediye başkanının resmi basın iletişim e-postasına ulaştı. Ancak henüz herhangi bir yanıt alınamadı.
pwns3c Daha Önce Virginia Seçim Departmanını Hacklediği İddia Edildi
BreachForums’ta daha önceki bir gönderide pwns3c, Virginia Seçim Bakanlığı’na karşı en az 6.500 kayıttan ödün veren bir veri ihlali iddiasında bulundu. Daha önce çalınan veriler de karanlık ağda Bitcoin (BTC), Litecoin (LTC) veya Monero (XMR) cinsinden 30 ABD doları karşılığında teklif ediliyordu.
Virginia Seçim Departmanı, Virginia Eyaleti vatandaşları için açık ve güvenli seçimlerin sağlanmasından ve denetlenmesinden sorumludur. Virginia’nın yaklaşık 133 yerel seçim bürosuyla koordineli olarak seçmen kaydı, devamsız oy kullanma, adaylar için oy pusulasına erişim, kampanya finansmanının açıklanması ve oy verme ekipmanı sertifikasyonundan sorumludur.
Ele geçirilen verilerin zaman damgaları, kullanıcı adları, seçim verileri, aday bilgileri ve oylama yöntemi ayrıntıları gibi hassas bilgileri içerdiği iddia edildi. Ancak belirtilen olayla ilgili henüz resmi bir doğrulama gelmedi.
pwns3c tarafından iddia edilen ihlaller, iddia edilen niteliklerine rağmen, devlet kurumlarının web sitelerinin güvenliğinin sağlanmasına ilişkin sürekli zorlukların altını çiziyor. Sosyal Güvenlik Numaralarını (SSN’ler), iletişim bilgilerini, seçimle ilgili ayrıntıları ve imzaları içerebileceği iddia edilen çalınan verilerin hassas yapısı, hükümet web sitelerinin güvenlik önlemlerini güçlendirme aciliyetinin altını çiziyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Ekspres bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.