Barları ve kulüpleri sık sık ziyaret eden bir milyondan fazla Avustralyalının kritik bilgileri, New South Wales ve Avustralya Başkent Bölgesi’ndeki konaklama ve oyun sektörlerine yönelik üçüncü taraf içerik yönetimi ve veri depolama sağlayıcısı Outabox veri ihlali nedeniyle büyük olasılıkla açığa çıktı.
Outabox resmi web sitesine göre 2017 yılında kurulan şirket, Avustralya, Asya ve ABD’deki oyun ve eğlence endüstrisindeki müşterilere çeşitli hizmetler sunuyor.
Outabox ihlali doğruladı ve bunun muhtemelen “müşterilerimiz tarafından kullanılan bir oturum açma sisteminden” gerçekleştiğini söyledi. Ne tür verilerin etkilendiğine ilişkin ayrıntılı bilgi taleplerine yanıt vermedi.
Şirketin, müşterilerin ateşini taramak (covid sonrası günlerde kullanılan) ve girişte üyeliklerini doğrulamak için kulüplerin giriş noktalarına yerleştirilen TriAgem adında bir yüz tanıma kiosku var. Outabox, bu verilerin de veri ihlali olayından etkilenip etkilenmediğini doğrulamadı.
“Şu anda aktif polis soruşturması altında olduğu için bu aşamada ne kadar bilgi verebildiğimiz sınırlı. Outabox, “Mümkün olan en kısa sürede daha fazla ayrıntı sağlayacağız” dedi.
Avustralya Ulusal Siber Güvenlik Koordinatörü söz konusu hükümet, Outabox veri ihlali olayına yönelik müdahaleyi NSW ve ACT’deki yerel yetkililerle koordine ediyor.
“Bunun etkilenenler için üzücü olacağını biliyorum ve Outabox ile birlikte ihlalin tam boyutunu tespit etmek için elimizden geldiğince hızlı çalışıyoruz.” söz konusu Korgeneral Michelle McGuinness yakın zamanda Ulusal Siber Güvenlik Koordinatörlüğü görevini üstlendi.
NSW hükümeti olaydan haberdar olduğunu ve olayın bireyler üzerindeki potansiyel etkisinden “endişe duyduğunu” kabul etti. “Kulüpleri ve ağırlama mekanlarını, bilgileri etkilenen müşterileri bilgilendirmeye teşvik ediyoruz” dedi.
NSW’deki West Tradies İhlal Bildirimleri Gönderdi
Böyle bir kulüp olan West Tradies, müşterilerine harici BT sağlayıcısının “bir siber şantaj kampanyasının hedefi” olduğunu belirten bir ihlal bildirimi yayınladı. “Bu aşamada tüm müşterilerin mi, yoksa yalnızca bazı müşterilerin mi etkilendiğini bilmiyoruz.”
“29 Nisan 2024 akşamı, harici BT sağlayıcısı tarafından, kendisinin bir “siber gasp kampanyasının” hedefi olduğu ve denizaşırı bir üçüncü tarafın, talepleri yerine getirilmediği takdirde kişisel bilgileri ifşa etmekle tehdit ettiği bize resmi olarak bildirildi. “Batı Tradies Kulübü dedi.
Yeni Güney Galler’deki tüm kayıtlı kulüplerin, Kayıtlı Kulüpler Yasası uyarınca üyeler ve konuklar hakkındaki belirli bilgileri saklaması gerekmektedir. Kulüplerin ayrıca sorumlu kumar oynama ve Kara Para Aklamayı Önleme ve Terörizm Finansmanıyla Mücadele yükümlülüklerine uymak için belirli bilgileri saklamaları gerekmektedir.
Bu normlara uymak için West Tradies’in bu kayıtların tutulmasına ve sistemlerini işletmesine yardımcı olacak harici bir BT sağlayıcısı kullandığını açıkladı.
Outabox Veri İhlalinden 1 Milyondan Fazla Kişi Etkilendi mi?
İnsanların sızdırılan veritabanında isimlerini aramalarına olanak sağladığını iddia eden bir web sitesi geçtiğimiz günlerde internette ortaya çıktı. Alan adı kutudan çıkarıldı[.]com, başka bir Avustralyalı veri sızıntısı arama sağlayıcısı tarafından sağlanan bir hizmete benziyor gibi görünüyor ancak bu hizmete herhangi bir bağlantı iddiasında bulunmuyor.
Bu web sitesinde yayınlanan bilgiler, yüz tanıma biyometrisi, ehliyet taramaları, imza, kulüp üyelik verileri, adres, doğum günü, telefon numarası, kulüp ziyareti zaman damgaları ve slot makinesi kullanımının bu veri setine dahil olduğunu iddia ediyor. Sızan veri setinde 1.050.169 kayıt olduğu iddia ediliyor ve basit bir isim araması, farklı kulüplerin patronlarının düzeltilmiş ayrıntılarını gösteriyor.
Kişisel olarak tanımlanabilir bilgilerin çoğunluğu bu aşamada kaldırılmıştır.
Ücretsiz Yurtdışı Geliştiriciler Siber Şantajcılar mı?
Veri sızıntısı arama web sitesinin Filipinler’deki bir offshore geliştirme ekibi tarafından kontrol edildiği iddia ediliyor. Outabox, birçok ülkedeki kumarhanelere ve gece kulüplerine kurulan yazılım sistemleri oluşturmak için Filipinler’den offshore geliştiricileri işe aldı. Ancak sızıntı sitesinin sahibi, bir buçuk yıllık çalışmanın ardından geliştiricilerin aniden kesildiğini ve Outabox tarafından ödeme yapılmadan bırakıldığını iddia etti.
“Bu dış kaynak kullanımı stratejisi sektörde yaygın olsa da, takip eden süreç standart uygulamadan çok uzaktı. Sızıntı sitesinde, geliştiricilere ham verilere erişim de dahil olmak üzere oyun mekanlarının arka uç sistemlerine sınırsız erişim izni verildiği belirtildi.
West Tradies’in icra kurulu başkanı Douglas Kirkham, “Kulüp, kulüp tarafından tutulan herhangi bir verinin herhangi bir üçüncü tarafa açıklandığından veya yurt dışına açıklandığından habersizdi” dedi. İddialar doğruysa bu eylemler Kulübün bilgisi ve rızası olmadan yapılmıştır.”
“Kulüp, harici BT sağlayıcısının Kulüpten elde edilen herhangi bir bilgiyi üçüncü taraflara sağlamasına izin vermedi veya bunu bilmedi.”
Avustralya Bilgi Komiserliği Ofisi, durumdan etkilenen bazı kuruluşlar tarafından kendilerine bilgi verildiğini ve daha fazla bildirim almayı beklediklerini bildirdi. Sızıntı yapılan sitede 20’ye yakın kulüp listelendi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.