Toplanın ve tüylerinizi diken diken edecek bir hikayeyi anlatalım.
Şunu hayal edin: Karanlık siber alemde, karanlık bir figür, korumasız ve açığa çıkmış sırlarla dolu bir hazineye rastlıyor. 100 milyondan fazla Amerikalının kişisel bilgileriyle dolu, 2,2 TB’lık bir veritabanı tamamen açık bırakıldı. Bu sıradan bir keşif değildi; Pandora’nın dijital korkularla dolu kutusuydu bu.
Geçmiş kontrol şirketi MC2 Data’ya ait olan bu geniş veritabanı, bireylerin hayatlarının özünü (isimler, adresler, telefon numaraları, yasal kayıtlar ve istihdam geçmişleri) barındırıyordu. Sızıntı, basit bir hata nedeniyle ABD nüfusunun neredeyse üçte birini etkiledi: Veritabanının şifre olmadan korunmasız olması.
Siber suçlular, kullanıma hazır bir altın madeni bilgi bulmanın sevincini yaşadı. Bu tür ayrıntılarla sosyal mühendislik saldırılarının mümkün olduğunu hayal edin. Sosyal mühendislik saldırıları, siber suçlular tarafından bireyleri gizli bilgileri ifşa etmeleri veya güvenliği tehlikeye atacak eylemler gerçekleştirmeleri yönünde kandırmak için kullanılan manipülatif taktiklerdir. PrivateRecords abonelerinin ve hakkında bilgi derledikleri kişilerin verileri bu tür kötü niyetli aktörlerin erişimine açık hale getirildi.
Bu hikayenin verdiği dersleri unutmayın. Dijital harikalar çağında, en küçük bir dikkatsizlik bile milyonlarca kişinin kabus görmesine neden olabilir. Dikkatli olun, sırlarınızı iyi koruyun ve bu hikayenin herkes için uyarıcı bir hikaye olmasına izin verin.
Protegrity Kıdemli Ürün Güvenliği Mimarı Clyde Williamson, bu tüyler ürpertici anlatıyı ve geniş kapsamlı sonuçlarını daha derinlemesine incelemek için veri koruma ve gizliliğin önemini tartışıyor:
“Geçmişlerine bakıldığında MC2 Data, PrivateRecords.net gibi binlerce çevrimiçi kaynaktan 12 milyar kamu kaydına erişimi olan çeşitli web sitelerinin sahibi ve işletmecisidir. İlgili kişilerin bilgisi veya rızası olmadan alınan ve derlenen bu bilgiler daha sonra arka plan raporları oluşturmak için kullanılır. Daha da endişe verici olanı, MC2 Data’nın bu bilgilere veri güvenliği veya minimum şifre koruması bile getirmemesiydi. Yani sadece verileri izinleri olmadan kazınıp bir araya getirilen milyonlarca Amerikalı değil, aynı zamanda hepsi orada, isteyen herkes tarafından alınmayı bekliyor.
MC2 Data gibi şirketler bu şekilde çalışır, böylece kişisel verileri doğrudan bireylerden almak zorunda kalmazlar. Bu tür hizmetler sıklıkla potansiyel işverenler veya kredi departmanları tarafından kullanılsa da, durum her zaman %100 böyle değildir. Herkes bu tür hizmetleri akla gelebilecek herhangi bir amaç için kullanıyor olabilir. Ne yazık ki, bu ihlal muhtemelen hem bu hizmete abone olan kişileri hem de verileri rızaları olmadan derlenen kişileri etkileyecektir.
Bu geçmiş kontrolleri yalnızca iletişim bilgilerini veya adres geçmişini de içermez. Bunun yerine, bireyin sosyal medya profilleri, aile üyeleri, medeni ve boşanma durumu ve çok daha fazlası gibi derinlemesine kişisel bilgilere bakıyoruz. Bu ihlal, iş kontrollerinin ötesine geçiyor ve siber suçlular için temel sosyal mühendislik saldırı yemi haline geliyor.
Bu tür bilgiler, onların ellerinde, şüphelenmeyen ebeveynleri, kardeşleri, arkadaşları ve yakınınızdaki diğer kişileri dolandırmak ve hayatları boyunca biriktirdikleri paraları sizin adınıza tehdit aktörlerine göndermek için kolayca kullanılabilir. MC2 Data, bu tür kamuya açık bilgileri toplayarak, saklayarak ve sonra da korumayı başaramayarak bu tür suçlular için zor kısmı yaptı. Aslında, içeri girip özgürce ve düzgün bir şekilde almaları için kapıyı ardına kadar açık bıraktılar.
Bunun MC2 Data tarafından kazara yapılan bir hareket mi, yoksa en kötü ihtimalle kasıtlı bir ihmal eylemi mi olduğuna bakılmaksızın, bu olay, kuruluşların bu kadar büyük miktarda hassas veriye erişim imkanına sahip olmasına rağmen veri güvenliğini ne kadar az anladığının altını çiziyor. Temel yetkili erişimi bile güvence altına almadaki bu başarısızlık açıkçası endişe vericidir ve 21. yüzyılın zorluklarına hazır olmayan ABD yasalarının vatandaşların verilerini işleme konusundaki yetersizliğini vurgulamaktadır.
Odak noktası yalnızca güncelliğini yitirmiş düzenlemelere uymaktan veri güvenliğinin gerçek ruhunu benimsemeye doğru kaymalıdır, çünkü hiçbir kuruluş bir veri Fort Knox değildir. Düzenlemelerimizin, veriler çalınsa bile onu kötüye kullanmak isteyen tehdit aktörleri için işe yaramaz olmasını sağlayan şifreleme ve tokenizasyon gibi gerçek veri koruma stratejileriyle şeffaflığa ve veri kimliksizleştirmeye değer vermesi gerekiyor.”
Reklam