27 Aralık’ta Hindistan Demiryolları ağında, 30 milyondan fazla müşterinin kişisel bilgilerinin açığa çıkmasıyla sonuçlanan bir veri ihlali yaşandı.
Bir hacker sitesindeki bir kişinin Hindistan Demiryolları sisteminden 30 milyon kullanıcı detayını sattığı ortaya çıktı. “Shadowhacker” takma adını kullanan bu kullanıcı, arkasında o kişinin kimliğinin belirlenmesine yol açabilecek hiçbir iz bırakmamıştır.
Son birkaç yılda, Hindistan Demiryolları bir dizi veri ihlalinin kurbanı oldu. Ekim 2019’da, güvenli olmayan bir veritabanı örneği halka açık bırakıldı.
Bu güvenlik ihlali nedeniyle, düz metin olarak saklanan 583.000 bireysel e-posta adresi, kullanıcı adı ve şifre dahil olmak üzere yaklaşık 2 milyon veri ele geçirildi. 2020 yılının Ocak ayında, bu güvenlik açığının meydana geldiği kamuoyuna açıklandı.
Safety adlı bir siber güvenlik firmasının bulgularına göre, günlük yaklaşık 240 milyon kullanıcıya hizmet veren ve devlet onaylı bir tren bileti alım satım portalı olan RailYatri’nin web sitesindeki bir güvenlik açığı bot saldırısıyla istismar edildi. Bulgularını Ağustos 2020’de yayınlayan Dedektifler.
Bilgisayar korsanına göre veriler, diğer bilgilere ek olarak kurbanın adı, e-posta adresi, telefon numarası ve cinsiyet gibi çeşitli kişisel özellikleri içeriyor. Kullanıcı ayrıca, verilerin çeşitli devlet daireleri ve kurumları için farklı e-posta adreslerine sahip olduğunu söyledi.
25 milyondan fazla telefon numarasının ve diğer kişisel kimlik bilgilerinin tehdit aktörü (PII) tarafından ele geçirildiği garanti edilmiştir.
Aktör ayrıca “seyahat bilgilerinin tam kullanıcı geçmişini” ifşa eden ikinci bir uç nokta sağlar. Bu bilgiler, PNR numarası gibi “birçok veriyi”, yolcu adı ve cep telefonu numarası gibi PII’leri ve tren numarası ve varış saati gibi seyahat ayrıntılarını içeren bir fatura pdf’sini içerir.
Bilgisayar korsanı, verilerin yanı sıra, bir ödeme karşılığında “kullandığımız” web sitesi güvenlik açıkları hakkında belirli bilgiler de sunuyor. Oyuncu, söz konusu web sitesinin IRCTC için bir rezervasyon sayfası mı yoksa Hindistan Demiryolları’nın resmi portalı mı olduğunu belirtmedi.
Bilgi güvenliği alanındaki araştırmacılar, verilerin gerçekliğini veya elde edilme yöntemini doğrulayamadı. Hindistan Demiryolları bu ihlalle ilgili henüz bir açıklama yapmadı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.