Dün güvenlik ekibi Siber haberler muhtemelen tüm zamanların en büyük veri ihlali olacağını açıkladı. Güvenlik araştırmacısı Bob Dyachenko ile ortak çaba gösteren Cybernews ekibi, web üzerinde milyarlarca ifşa edilmiş kayıt içeren açık bir örnek buldu. 12 terabaytlık inanılmaz bir bilgi ve 26 milyar kayda ulaşan bu ihlal, Tüm İhlallerin Anası, kısaca MOAB olarak adlandırılıyor.
Twitter’dan LinkedIn’e, Adobe’den Wattpad’e ve çok daha fazlasına kadar, bu büyük çevrimiçi marka adlarından sızdırılan veriler MOAB örneğinde bulundu. Çin’in mesajlaşma uygulaması Tencent, en fazla sayıda kaydı açığa çıkaran uygulama oldu; yalnızca 1,4 milyar. Ayrıca küresel hükümet kuruluşlarının kayıtları da bulundu.
Greg Day, Kıdemli Başkan Yardımcısı ve küresel saha CISO’su Siber Sezon, şu yorumu yaptı: “GDPR’nin 6. yılına doğru ilerlerken, çok sayıda işletmenin giderek daha karmaşık hale gelen siber saldırıları derhal tespit etme konusunda zorluklarla karşı karşıya olduğu ve ortalama yanıt süresinin genellikle yüzlerce güne kadar uzandığı açıktır.”
Sonuç olarak, tüm bu tüketicilerin birleştirilmiş kayıtları artık web’deki herkesin erişimine açık. Ve, wBu bilgilerin çoğu muhtemelen önceki ihlallerden kaynaklansa da, şüphesiz ki karışımda henüz görülmemiş bazı veriler de var.
Geriye kalan sorulardan biri de MOAB’ın arkasındaki kişi veya kişilerdir. Bir tehdit aktörü veya erişim komisyoncusu olabilir. Kısacası, muhtemelen milyarlarca kayda kolay erişime ilgi duyan biri.
MOAB bazı durumlarda yinelenen veriler içerse de, etkiyi pek azaltmaz. Bu ihlalin ardından tüketicilerin karşılaşacağı sonuçlar hafife alınamaz. Bilgisayar korsanları için bu veri madeni hazinesi, hedeflerine PII (Kişisel Olarak Tanımlanabilir Bilgi) kaynağı sağlamanın inanılmaz derecede kolay bir yolu haline gelecektir.
Buna göre Paul Bischoff, Tüketici Gizliliği Avukatı Karşılaştırmalı teknoloji, “Bir bilgisayar korsanı tek bir sorguyla eski şifrelerinizden hobilerinize ve ilgi alanlarınıza kadar hakkınızda internete sızdırılan her şeyi öğrenebilir. Bu veritabanları zaman geçtikçe daha da tamamlanacak ve mağdurların dolandırıcılık ve diğer suçlarla mücadele etmesi daha da zorlaşacak.”
Ve bu bilgiler kimlik avı, kimlik bilgileri doldurma ve kişisel kimlik hırsızlığı amacıyla kötü niyetli olarak kullanılabilir.
Bunun sonuçları çok büyük olabilir. Gerçekten de, birçok tüketicinin birden fazla çevrimiçi platformda kullanıcı adlarını ve şifrelerini yeniden kullandığı göz önüne alındığında, bu MOAB’ın sonuçları şu ana kadar olduğundan çok daha geniş kapsamlı olabilir.
Erfan Shadabi, veri güvenliği uzmanlarıyla birlikte siber güvenlik uzmanı konfor AG, bunu açıklayarak kabul ediyorum, “Araştırmacıların kimlik bilgileri doldurma saldırıları nedeniyle bir tsunami riskinin altını çizmesiyle, MOAB’ın potansiyel tüketici etkisi eşi benzeri görülmemiş bir durum. Bu tehdit, kullanıcı adı ve parolanın yeniden kullanılmasının yaygın uygulaması nedeniyle özellikle güçlüdür.”
Peki buna yanıt olarak ne yapılabilir? Olabilmek herhangi bir şey yapılabilir mi?
Buna göre Roger Grimes, Veriye Dayalı Savunma Evangelisti KnowBe4, veri gizliliğinin eksikliği bu noktada neredeyse kesindir. “Sanırım bu dünyadaki çoğu insan artık doğru bir şekilde kişisel bilgilerinin en azından bir kısmının internette mevcut olduğunu düşünüyor. Bu hayatın üzücü bir gerçeği ve özel bilgilerimizin artık özel olmadığı bir dünyada büyümenin gençleri ve genel olarak toplumu nasıl etkilediğini merak ediyorum.”
Ancak bu durum umutsuz olduğu anlamına gelmiyor.
Chris Hauk, Tüketici Gizliliği Şampiyonu Piksel Gizliliği, kullanıcıların kendilerini koruyabilecekleri bazı tamamlayıcı yollar önerir. “Uzun süredir tüm internet kullanıcılarına, sanki kişisel verileri internette bir yerde mevcutmuş gibi davranmaları yönünde çağrıda bulunuyordum. Bu, kullanıcıların her site için oturum açma bilgilerini iki kez kontrol etmeleri gerektiği anlamına geliyor… Kullanıcılar ayrıca veritabanındaki verileri kullanan taraflardan gelen kimlik avı e-postaları, kısa mesajlar ve telefon çağrılarına karşı da tetikte olmalıdır.”
İlgili kişilerin kişisel bilgilerinin ihlale dahil olup olmadığını kontrol etmesi de önemlidir. Bu kullanışlı bir şekilde yapılabilir kişisel veri kontrol aracı Cybernews sitesinde. Tüketiciler, bir e-posta veya telefon numarası girerek ilgili kişisel bilgilerinin çevrimiçi ortamda açığa çıkıp çıkmadığını öğrenebilirler.
Tamara Kirchleitner, Kıdemli İstihbarat Operasyonları Analisti Merkezcil, Sadece bireylerin değil, kuruluşların da tetikte olması gerektiğini ekliyor. “Kuruluşların veri korumaya öncelik vermesi ve kapsamlı siber güvenlik stratejilerine yatırım yapması çok önemli. Buna farkındalık eğitimi, güvenli şifre yöneticileri, güvenlik denetimleri, sağlam şifreleme ve olay müdahale planları dahildir.”
Tom Gaffney, Siber Güvenlik uzmanı F-Secure: “Bunun gibi bir vaka, bireylerin verilerini koruma ve risklerini nasıl azaltacaklarını anlama konusunda proaktif olma ihtiyacını vurguluyor. Yakın zamanda yürüttüğümüz araştırma, İngilizlerin neredeyse üçte birinin (%29) verilerinin ele geçirilmesi riskini azaltmak için ne gibi önlemler alabileceklerini bilmediğini ortaya çıkardı.”
Tüm İhlallerin Anası’nı takip eden bakış açısı kuşkusuz korkunçtur. Ancak her şeyin nasıl gelişeceğini yalnızca zaman gösterecek. Bu arada, risk altındaki tüketiciler ve kuruluşlar bugün uygun adımları atarsa, toplu olarak hepimizin bu durumdan zarar görmeden çıkma şansı olabilir.