Bilgisayar korsanları, 80.000 öğrencinin, velilerinin ve çok sayıda idari personelin kayıtlarını taramak için Helsinki eğitim bölümü veri ihlali sırasında uzaktan erişim sunucusunun yamalanmamış bir güvenlik açığından yararlandı.
Helsinki Şehri, veri ihlalini 30 Nisan’da tespit etti ve bilgisayar korsanının öğrenci ve personel kullanıcı adlarına ve e-posta adreslerine erişim sağladığını tespit eden bir soruşturmayı derhal başlattı.
Helsinki şehrinin dijital baş sorumlusu Hannu Heikkinen Pazartesi günü düzenlediği basın toplantısında şunları söyledi: “Daha ileri araştırmalar, failin tüm şehir personelinin kullanıcı adlarına ve e-posta adreslerine, ayrıca kişisel kimlik ve adreslerine erişim elde ettiğini gösterdi.” Eğitim Bölümünden öğrenciler, veliler ve personel.
“Ayrıca fail, Eğitim Bölümü’ne ait ağ sürücülerindeki içeriğe de erişim elde etti.” Heikkinen şunları söyledi.
Şehir Müdürü Jukka-Pekka Ujula, “Bu, müşterilerimiz ve personelimiz için olası, talihsiz sonuçları olan çok ciddi bir veri ihlalidir” dedi. “Bu durumdan derin üzüntü duyuyoruz.”
Uzaktan Erişim Hatasıyla Bağlantılı Helsinki Eğitim Bölümü Veri İhlali
Ön soruşturma, Helsinki Eğitim Bölümü veri ihlalinin, uzaktan erişim sunucusundaki bir güvenlik açığı nedeniyle mümkün olduğunu ortaya çıkardı.
“Sunucuda, suçlunun Eğitim Bölümü ağına bağlanmak için yararlanabileceği bir güvenlik açığı vardı.”
Şehir yetkilileri, uzaktan erişim sunucusunun adını açıklamadı ancak kullanım sırasında bir düzeltme yamasının mevcut olduğunu ancak sunucuya neden yüklenmediğinin şu anda bilinmediğini söyledi. Heikkinen, “Güvenlik güncellememiz ve cihaz bakım kontrollerimiz ve prosedürlerimiz yetersiz” dedi.
Şehir yetkililerine göre ihlal, potansiyel suistimalleri en aza indirecek şekilde, on milyonlarca dosyadan oluşan ağ sürücüsü verilerinin çoğunun tanımlayıcı olmayan bilgiler veya sıradan kişisel veriler içerdiği geniş bir grubu hedef aldı.
Bununla birlikte, bazı dosyalar, erken çocukluk eğitimi müşterilerinin ücretleri, öğrenci refahından gelen bilgi talepleri gibi çocukların durum bilgileri veya özel destek ihtiyacına ilişkin bilgiler ve üst düzey ortaöğretim öğrencilerinin eğitimlerinin askıya alınmasına ilişkin tıbbi sertifikalar gibi gizli veya hassas kişisel veriler içerir ve Eğitim Bölümü personelinin hastalık izni kayıtları.
Veri ihlali aynı zamanda geçmiş müşteri ve personel verilerini de içeriyor. Yani, bir kişi şu anda Eğitim Bölümü’nün müşterisi veya personeli olmasa bile, bilgisayar korsanı yine de bu kişinin verilerine erişmiş olabilir.
“Şehrin hizmetlerindeki kullanıcı sayısı ve önceki yıllardaki kullanıcı sayısı göz önüne alındığında, en kötü durumda, bu veri ihlali 80.000’den fazla öğrenciyi ve onların velilerini etkiliyor.” Bir yüzme havuzun var.
Eğitim Bölümü genel müdürü Satu Järvenkallas, yetkililerin şu anda bilgisayar korsanının hangi verilere erişmiş olabileceğine dair doğru bir değerlendirme sağlayamadıklarını, çünkü “incelenen veri hacminin önemli olduğunu” söyledi.
VPN Ağ Geçitleri ve Ağ Uç Cihazlarının ‘Özel İlgi’ye İhtiyacı Var
Şehir yetkilileri, Helsinki Eğitim Bölümü’nde veri ihlalinin tespit edilmesinin ardından derhal Veri Koruma Ombudsmanı’na, Finlandiya Polisine ve Traficom Ulusal Siber Güvenlik Merkezi’ne bilgi verdi.
Traficom’un siber güvenlik merkezi bildirimi kabul etti ve olayın araştırılmasında Helsinki Belediyesi’ne destek verdiğini söyledi. “Helsinki şehrini hedef alan veri ihlali, belediye sektöründeki boyutuna göre son derece büyük. Dava birçok Finliyi etkiliyor ve büyük endişeye neden oluyor” dedi. söz konusu X platformunda (eski adıyla Twitter).
Traficom’un NCSC’si, ağ uç cihazlarındaki bunun gibi kritik güvenlik açıklarının kuruluşların siber güvenliği için risk oluşturduğunu söyledi. Güvenli uzak bağlantılar kurmaya yönelik VPN ürünlerinin güvenlik açıklarından yararlanılarak, “özellikle saldırıyı sınırlayacak diğer önlemler kullanımda değilse” kuruluş dışındaki tarafların iç ağlara erişim sağlamasının da mümkün olduğu ifade edildi.
“Geçtiğimiz altı ay içinde VPN ağ geçitleri gibi birçok büyük cihaz üreticisinin ağ uç cihazlarında ciddi ve istismar edilmesi kolay güvenlik açıkları tespit edildi.” Siber güvenlik merkezi müdürü Samuli Bergström şöyle konuştu: “Bu nedenle kuruluşlardaki kaynaklara ve uzmanlığa özel önem verilmesi önemlidir.”
Bu tür bir VPN cihazının kötüye kullanılmasının çok yeni bir örneği, Ivanti VPN ürünleri, Ivanti Connect Secure (eski adıyla Pulse Secure) ve Ivanti Policy Secure ağ geçitlerindeki sıfır gün istismarıdır. Çin devleti destekli bilgisayar korsanları, bu ürünlerde iki sıfır gün güvenlik açığı kullandı: kimlik doğrulama atlama (CVE-2023-46805) ve MITRE dahil çeşitli kuruluşların güvenliğini tehlikeye atmak için bir komut ekleme (CVE-2024-21887) hatası.
“Veri ihlaline tepki hızlı oldu ve gerekli tüm kaynaklar koruyucu önlemler için kullanılıyor ve kullanılacak. Bu, şehrin üst düzey yönetimi için en yüksek önceliktir” dedi Ujula.
Heikkinen, “İhlalin ardından benzer bir ihlalin artık mümkün olmamasını sağlamak için önlemler aldık” diye ekledi.
“Failin diğer bölümlerin ağlarına veya verilerine eriştiğine dair kanıt bulamadık. Ancak tüm Helsinki Şehri ağlarını yakından izliyoruz.”
Etkilenen bireylere yönelik bilgilere Traficom’un Siber Güvenlik Merkezi web sitesi, veri ihlali müşteri hizmetleri, kriz acil durum hizmetleri ve MIELI Mental Health Finland aracılığıyla ulaşılabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.