3 Nisan’da, Website Planet, Nijerya’daki bir devlet sağlık kurumuna ait güvenli olmayan AWS S3 veri paketlerini keşfettiğinde bir web haritalama projesi yürütüyordu. Bu kovalar, ajansa kayıtlı kişilerin kimlik belgeleri ve fotoğrafları da dahil olmak üzere toplamda yaklaşık 45 GB olan tahmini 37.000 kişi hakkında 75.000 giriş içeriyordu. Website Planet’e göre, kovalar Ocak 2021’den kalmaydı ve keşif sırasında canlı ve güncelleniyorlardı.
Plateau State Contributory Healthcare Management Agency (PLASCHEMA) olarak bilinen ajans, Eylül 2020’de eyalet valisi Simon Bako Lalong tarafından başlatılmıştı ve Nijerya’nın Plateau eyaleti sakinleri için ucuz ve erişilebilir sağlık hizmetleri sağlamaya yönelikti.
5 Nisan’da Website Planet, Nijeryalı yetkililerle temasa geçerek onları açıkta kalan veri grupları hakkında bilgilendirdi. Ancak Website Planet, veri paketlerinin Temmuz ayı sonuna kadar canlı ve güvenli olmadığını söylüyor. Website Planet sözcüsü, kötü niyetli aktörlerin verileri güvenli hale getirilmeden önce bulup bulmadıklarının bilinmediğini, ancak “ne kadar uzun süre açık bırakılırsa kötü niyetli taraflarca yakalanma olasılığının o kadar yüksek olduğunu” söylüyor. Kovalarda bulunanlar gibi kişisel bilgiler, sosyal medya ve sanal banka veya kredi hesapları açmak için kullanılabilecek kimlik hırsızlığı için kullanılabilir.
23 Temmuz’da, güvenli olmayan kovaların kilitlenmesinden günler sonra, PLASCHEMA genel müdürü Fabong Yildam, bir basın toplantısında herhangi bir veri ihlali veya ifşasını reddetti.
Ne yazık ki olay, düzenlemelerin etkisiz olduğu, kötü uygulamaların yaygın olduğu ve güvenlik ihlallerinin kamuya açıklanmasının genellikle yavaş ve yetersiz olduğu Nijerya’daki yaygın siber güvenlik sorunlarının tipik bir örneğidir.
Nijeryalı bir güvenlik analisti ve bir güvenlik danışmanlığı ve savunuculuk grubu olan Cybersafe Foundation’ın yönetici direktörü Confidence Staveley, “Gelişmiş ülkelerdeki birçok kuruluş, siber direnci ve yaygın olay müdahalesini teşvik eden siber saldırı vakaları olduğunda iletişim kurar” diyor. Ancak burada, genel olarak, birçok kuruluşun, inkar edilemez kanıtlar olsa bile, siber saldırıların ve veri ihlali olaylarının meydana geldiğini kesinlikle reddettiğini görüyoruz.
Ağustos 2020’de, iki büyük Nijerya bankasının, müşterilerinin finansal ayrıntılarını açığa çıkaran veri ihlallerine maruz kaldığı bildirildi. Hiçbir banka günler sonraya kadar yanıt vermedi ve ardından basın açıklamaları belirsizdi, herhangi bir veri ihlalinin meydana geldiğini ne inkar etti ne de kabul etti.
Bu yılın başlarında, Temmuz ayında, bağımsız Nijeryalı gazeteci David Hundeyin de Lagos eyalet hükümetine ait olası bir e-posta uzlaşmasını bildirdi ve bu e-postaların karanlık pazarda satışı. Lagos eyalet hükümeti ve Nijerya’nın siber güvenlik kurumları, Hundeyin’in iddiaları konusunda sessiz kaldı, iddia edilen ihlale ne yanıt verdi ne de yalanladı.
Bu ajanslar iletişim kurmayarak, müşterilerini ve diğer paydaşlarını kendilerini korumak için ihtiyaç duydukları bilgilerle donatmakta ve potansiyel bir ihlale maruz kalan herkese eyleme geçirilebilir tavsiyeler sağlamakta başarısız olmaktadır. Staveley, birçok kötü siber güvenlik uygulamasının yanı sıra iletişim eksikliğinin Nijerya’da siber güvenliği ve veri korumasını baltaladığını ve ciddi bir güven ve kapasite eksikliği yarattığını söylüyor.