Büyük markalar için kullanıcıların kimliğinin doğrulanmasına yardımcı olan bir şirketin, bir yılı aşkın süredir çevrimiçi olarak açığa çıkan ve potansiyel olarak sürücü belgesi gibi kullanıcı kimlik belgelerine erişime izin veren bir dizi yönetim kimlik bilgisi vardı.
Kumar hizmetleri, sosyal ağlar ve porno siteleri gibi web siteleri ve platformların kullanıcılarının yaşını doğrulamasını gerektiren giderek daha fazla mevzuat ortaya çıktıkça, bu hizmeti sunan kimlik doğrulama şirketlerine olan gereksinim de artıyor.
İsrail merkezli kimlik doğrulama şirketi AU10TIX’i daha önce hiç duymamış olabilirsiniz, ancak Uber, TikTok, X, Fiverr, Coinbase, LinkedIn ve Saxo Bank gibi önemli müşterilerinden bazılarını kesinlikle tanıyacaksınız.
AU10TIX, resmi bir belgenin fotoğrafını yükleyerek kullanıcıların kimliklerini kontrol eder.
Bir araştırmacı, AU10TIX’in kimlik bilgilerini açığa çıkardığını ve bulgularını göstermek için 404 Media’ya ekran görüntüleri ve veriler sağladığını tespit etti. Kimlik bilgileri, kimliklerini kanıtlamak için belge yükleyen kişilerle ilgili verileri içeren bir kayıt platformuna yol açtı.
Platforma erişen kişi, bu kişiler hakkındaki ad, doğum tarihi, uyruk, kimlik numarası ve yüklenen sürücü ehliyeti gibi belgenin türü de dahil olmak üzere, kimlik belgesinin resmine bağlantı veren bilgileri inceleyebilir.
Araştırma, kimlik bilgilerinin muhtemel kaynağının AU10TIX’teki Ağ Operasyon Merkezi Yöneticisinin bilgisayarındaki bir bilgi hırsızı olduğunu gösterdi.
Çalınan kimlik bilgilerinin, yakın zamanda Snowflake ile ilişkilendirilenlere benzer önemli bir ihlal kaynağı olduğu ortaya çıktı. Snowflake, bir siber suçlunun çalınan müşteri kimlik bilgilerini kullanarak birden fazla kuruluşun Snowflake müşteri örneklerine erişim elde ettiğini ortaya koyan araştırmaya dikkat çekti.
Bir diğer önemli sorun da bu kimlik bilgilerinin sürekli alınıp satılmasıdır. Ve sanki onları bir kez satmışsınız gibi değil, hepsi bu. Dijital bilgiler sonsuz sayıda kopyalanıp birleştirilebilir; bu da suçluların uygun gördükleri şekilde kullanabileceği devasa veri kümelerinin oluşmasına yol açar.
Geçmişte veri komisyoncularının tehlikelerinden bahsetmiştik. Kaliforniya Gizlilik Koruma Ajansı (CPPA), veri komisyoncularını tüketicilerin doğrudan etkileşimde bulunmadığı, ancak diğer işletmelerden tüketicilerle ilgili bilgi alıp satan işletmeler olarak tanımlamaktadır. CPPA’ya kayıtlı yaklaşık 480 veri komisyoncusu bulunmaktadır. Ancak bu buzdağının sadece görünen kısmı olabilir, çünkü dikkat çekmeyen aktif bir sürü küçük oyuncu var.
Her iki durumda da, herhangi bir şirket ve özellikle hassas verilerle çalışan bir kimlik doğrulama şirketi için, yalnızca oturum açma bilgileriyle erişilebilen böyle bir hesaba sahip olmak ciddi cezalara yol açmalıdır.
AU10TIX, 404 Media’ya yaptığı açıklamada, sistemi artık kullanmadığını ve verilerin kullanıldığına dair hiçbir kanıt bulunmadığını söyledi:
“Şu anki bulgularımıza göre PII verilerine potansiyel olarak erişilebilir olsa da, bu tür verilerin istismar edildiğine dair hiçbir kanıt görmüyoruz. Müşterilerimizin güvenliği son derece önemlidir ve onlara bilgi verilmiştir.”
Şimdilik, markaların bireysel kullanıcılarının resmi açıklamaları takip etmekten ve devam eden bir kimlik izleme çözümünü düşünmekten başka yapabileceği pek bir şey yok. Verilerinizin bir veri ihlalinin parçası olması durumunda ne yapmanız gerektiğine ilişkin bazı genel ipuçları aşağıda verilmiştir:
Veri ihlalinden sonra kendinizi koruma
Bir veri ihlalinin kurbanıysanız veya mağdur olduğunuzdan şüpheleniyorsanız gerçekleştirebileceğiniz bazı eylemler vardır.
- Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyelere uyun.
- Şifreni değiştir. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Yapabiliyorsanız ikinci faktör olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
- Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Mağdurlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak sizinle iletişime geçen herkesin kimliğini doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşünün. Sitelerin sizin için kart ayrıntılarınızı hatırlamasını sağlamak kesinlikle daha uygundur, ancak bu bilgileri web sitelerinde saklamamanızı önemle tavsiye ederiz.
- Kimlik izlemeyi ayarlayın. Kimlik izleme, kişisel bilgilerinizin yasa dışı olarak çevrimiçi olarak alınıp satıldığı tespit edilirse sizi uyarır ve daha sonra kurtarmanıza yardımcı olur.
Kişisel verilerinizin maruziyetini kontrol edin
Dijital Ayak İzi portalımızda hangi kişisel bilgilerinizin ifşa edildiğini kontrol edebilirsiniz. Ücretsiz Dijital Ayak İzi taramamıza e-posta adresinizi girmeniz yeterlidir (en sık kullandığınızı göndermek en iyisidir) ve size bir rapor verelim.