Malezya Sosyal Güvenlik Örgütü’nün (SOCSO), telefon numaraları ve maaş ayrıntıları da dahil olmak üzere kişisel bilgilerin çevrimiçi olarak ifşa edildiği bir veri ihlalinin kurbanı olduğu iddia edildi. İletişim ve Dijital Bakanı Fahmi Fadzil, bakanlığının CyberSecurity Malaysia (CSM) ve ilgili yetkililerle işbirliği içinde SOCSO veri ihlali hakkında aktif olarak bilgi topladığını doğruladı.
Kendilerini Rupert_Group adlı etik bilgisayar korsanları olarak tanımlayan bir grup tarafından tespit edilen SOCSO veri ihlali, Sosyal Güvenlik Kurumu’nun portalını hedef alarak Malezya hükümeti içindeki potansiyel siber güvenlik açığına dikkat çekti. Olay geçen hafta 2 Aralık 2023’te ortaya çıktı ve SOCSO’nun derhal harekete geçmesine yol açtı.
SOCSO Veri İhlali Bildirimiyle Karşı Karşıya
Fahmi Fadzil, devlet kurumlarını ve şirketlerini siber güvenlik önlemlerine öncelik vermeye çağırarak, baş bilgi güvenliği görevlilerine ve düzenli sızma testlerine duyulan ihtiyacı vurguladı. Dikkatli olmanın önemini vurguladı ve veri depolama sistemlerindeki potansiyel güvenlik açıklarını belirlemek ve ele almak için sertifikalı siber güvenlik şirketleriyle işbirliği yapılmasını önerdi.
SGK, ihlalin ardından kriz yönetim planını devreye alarak bilgi ve iletişim teknolojileri birimini sistemin kurtarılması için harekete geçirdi. Başlangıçta kuruluşun altyapısını devre dışı bırakmayı amaçlayan saldırı, SOCSO’yu geçici olarak durdurmaya zorladı ve sistemlerini 3 Aralık gece yarısından itibaren bakım moduna geçirdi.
Rupert_Group bir forum başlığında Sosyal Güvenlik Kurumunun güvenlik endişelerini gidermek için proaktif önlemler almadığını iddia etti. Dahili belgelerden oluşan bir veritabanı paylaştılar ve kullanıcıların tam adları, IC numaraları, adresleri, telefon numaraları, e-posta adresleri ve maaşları gibi kişisel bilgilerini içeren örnek verileri yayınladılar.
Şirketin SOCSO’ya Cevabı
SOCSO’nun imajını zedeleme girişimine rağmen kuruluş, katkıda bulunanlara, işverenlere ve halka sunulan hizmetlerin hiçbir engelle karşılaşmadan devam edeceği konusunda kamuoyuna güvence verdi. Sosyal Güvenlik Kurumu, prim yatıranlara ve yakınlarına sosyal yardım ödemeleri, tazminatlar ve maluliyet aylıklarını belirlenen süreler içerisinde yerine getirme sözü verdi.
Saygın olduklarını ve ağ sistemlerindeki güvenlik açıklarını tespit etme tutkusuyla motive olduklarını iddia eden hacker grubu, davalarını desteklemek için fon talep etti. Ek kişisel veri örnekleri bir CSV dosyasına bırakıldı.
Daha sonra grup, Sosyal Güvenlik Kurumu’nda güvenlik ihlalinin tartışıldığı, olayların kronolojisine ve duruma çözüm bulmak için atılan adımlara dair fikir veren kayıtlı bir toplantının videolarını yükledi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.