2021 ve 2023 yılları arasında TracFone Wireless müşterilerinin tescilli bilgilerinin (PI) ifşa edilmesine yol açan üç ayrı veri ihlalinin ardından Federal İletişim Komisyonu (FCC), Verizon’a ait şirketin hükümet soruşturmasını çözmek için 16 milyon dolarlık bir ceza ödemeyi kabul ettiğini ve uygulama programlama arayüzü (API) güvenliğini iyileştirmek için bir anlaşma yaptığını duyurdu.
TracFone Wireless Inc., Verizon’un tamamen sahip olduğu bir Amerikan ön ödemeli kablosuz servis sağlayıcısıdır. TracFone servisleri Straight Talk, Total by Verizon Wireless ve Walmart Family Mobile markaları tarafından kullanılmaktadır.
Anlaşma, ihlallerin etkisiz siber güvenlik protokollerinin sonucu olup olmadığını ortaya çıkarmak için TracFone’un güvenlik uygulamalarına yönelik bir soruşturmayı sonlandırıyor. FCC’nin Uygulama Bürosu (EB), siber suçluların müşteriye bakan API’lerle ilgili güvenlik açıklarından yararlanarak PI ve müşteriye özel ağ bilgileri (CPNI) dahil olmak üzere belirli TracFone müşteri bilgilerine erişim sağladığını tespit etti.
API’ler farklı bilgisayar programlarının veya bileşenlerinin birbirleriyle iletişim kurmasına olanak tanır. API’lerin arkasındaki güvenlik yeterince güvenli olmadığında, siber suçlular bunları yetkisiz bir şekilde bilgi toplamak için kötüye kullanabilir.
FCC medya bülteni, web sitelerinden müşteri bilgilerine erişmek için çok sayıda API’nin kullanılmasının mümkün olduğunu ayrıntılı olarak açıklıyor. Ve FCC’nin kendi Uygulama Bürosu’na göre, TracFone’da olan tam olarak buydu.
FCC, hukuki cezaya ek olarak, Rıza Kararnamesi’nde TracFone için ek görevler sağladı:
- TracFone, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Açık Dünya Uygulama Güvenliği Projesi (OWASP) tarafından belirlenenler gibi yaygın olarak kabul görmüş standartlarla tutarlı bir şekilde API güvenlik açıklarını azaltmaya yönelik yeni hükümler içeren zorunlu bir bilgi güvenliği programı devreye sokmak zorundadır.
- TracFone, SIM takasına karşı koruma önlemlerini iyileştirmelidir. SIM takası (ve çok benzer port-out dolandırıcılığı), birinin kişisel bilgilerinin telefon numarasını çalmak ve başka bir cihaza takas etmek veya aktarmak için yasadışı kullanılmasıdır. Bununla suçlular aramaları, mesajları ve belirli çok faktörlü kimlik doğrulama (MFA) kodlarını engelleyebilir.
- TracFone’un bilgi güvenliği programının yıllık değerlendirmelerine (bağımsız üçüncü taraflar da dahil) tabi tutulması gerekiyor.
- Çalışanların ve belirli üçüncü tarafların gizlilik ve güvenlik farkındalığı eğitimi alması gerekiyor.
Uygulama Bürosu FCC’ye şunları bildirdi:
“Üç ihlalden birinde müşteri bilgilerine erişim sağladıktan sonra, tehdit aktörleri açıklanmayan sayıda yetkisiz taşıma işlemi gerçekleştirdi.”
Tüm bunlar, FCC’nin SIM kart değişimine karşı misyonunu sürdürmesinin bir sonucu olarak gerçekleşiyor.
Veri ihlalinden sonra kendinizi koruma
Veri ihlalinin kurbanı olduysanız veya olduğunuzdan şüpheleniyorsanız alabileceğiniz bazı önlemler vardır.
- Satıcının tavsiyesini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyeleri izleyin.
- Şifreni değiştir. Çalınan bir parolayı değiştirerek hırsızlar için işe yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir parola seçin. Daha da iyisi, bir parola yöneticisinin sizin için bir tane seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Eğer yapabiliyorsanız, ikinci faktörünüz olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, bir parola kadar kolay bir şekilde dolandırıcılık yoluyla ele geçirilebilir. FIDO2 cihazına dayanan 2FA dolandırıcılık yoluyla ele geçirilemez.
- Sahte satıcılara dikkat edin. Hırsızlar sizinle satıcı gibi davranarak iletişime geçebilir. Mağdurlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve sizinle farklı bir iletişim kanalı kullanarak iletişime geçen herhangi birinin kimliğini doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve teslimatların kaçırılması, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşününSitelerin kart bilgilerinizi hatırlaması kesinlikle daha kullanışlıdır, ancak bu bilgileri web sitelerinde saklamamanızı şiddetle öneririz.
- Kimlik izlemeyi ayarlayın. Kimlik izleme, kişisel bilgilerinizin yasadışı olarak çevrimiçi ticaretinin yapıldığı tespit edilirse sizi uyarır ve sonrasında toparlanmanıza yardımcı olur.
Pozlamanızı kontrol edin
Malwarebytes Digital Footprint portalını kullanarak, veri ihlalleri nedeniyle bilgilerinizin çevrimiçi olarak erişilebilir olup olmadığını doğrulayabilirsiniz. Ücretsiz Digital Footprint taramamıza e-posta adresinizi girmeniz yeterlidir (en sık kullandığınızı göndermeniz en iyisidir) ve size bir rapor verelim. Bilgileri dahil edilmeyenler için, önceki veri ihlallerinde muhtemelen başka ifşalar bulacaksınız.
Sadece tehditleri rapor etmiyoruz; dijital kimliğinizin tamamını korumanıza yardımcı oluyoruzve
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak kendinizin ve ailenizin kişisel bilgilerini koruyun.