Veri ihlalleri basit bir cevabı olmayan, görünüşte bitmeyen bir beladır, ancak son aylarda arka plan kontrol hizmeti National Public Data’nın ihlali ne kadar tehlikeli ve çözümsüz hale geldiklerini gösteriyor. Ve dört aylık belirsizlikten sonra, durum ancak şimdi netleşmeye başlıyor ve National Public Data, çalınan verilerin bir hazinesinin çevrimiçi olarak kamuya sızdırıldığı Pazartesi günü ihlali nihayet kabul etti.
Nisan ayında, çalıntı bilgileri satmasıyla bilinen, USDoD olarak bilinen bir bilgisayar korsanı, siber suç forumlarında 2,9 milyar kayıt içeren ve “ABD, Kaliforniya ve İngiltere’nin tüm nüfusunu” etkileyen bir veri hazinesini 3,5 milyon dolara satmaya başladı. Haftalar geçtikçe, diğer aktörler ve meşru araştırmacılar kaynağını anlamak ve bilgileri doğrulamak için çalışırken, verilerin örnekleri ortaya çıkmaya başladı. Haziran ayının başlarında, verilerin en azından bir kısmının meşru olduğu ve çeşitli kombinasyonlarda adlar, e-postalar ve fiziksel adresler gibi bilgiler içerdiği açıktı.
Veriler her zaman doğru olmasa da, iki bilgi hazinesi içeriyor gibi görünüyor. Biri, diğer bilgilerle birlikte 100 milyondan fazla meşru e-posta adresini ve ikincisi ise Sosyal Güvenlik numaralarını içeriyor ancak e-posta adresi içermiyor.
National Public Data Pazartesi günü “Bazı kişisel bilgilerinizin de dahil olduğu bir veri güvenliği olayı yaşanmış gibi görünüyor” diye yazdı. “Olayın, Aralık 2023 sonlarında verileri hacklemeye çalışan üçüncü taraf bir kötü aktörle ilgili olduğu ve Nisan 2024 ve 2024 yazında belirli verilerin sızdırılmasının muhtemel olduğu düşünülüyor… İhlal edildiğinden şüphelenilen bilgiler arasında ad, e-posta adresi, telefon numarası, Sosyal Güvenlik numarası ve posta adresi(leri) yer alıyordu.”
Şirket, “polis ve hükümet araştırmacılarıyla” işbirliği yaptığını söylüyor. NPD, ihlal nedeniyle potansiyel toplu davalarla karşı karşıya.
“Kişisel verilerin hiç bitmeyen sızıntılarına duyarsızlaştık, ancak ciddi bir risk olduğunu söyleyebilirim,” diyor durumu National Public Data ile takip eden güvenlik araştırmacısı Jeremiah Fowler. “Anında olmayabilir ve birçok suç aktöründen birinin bu bilgileri nasıl kullanacağını başarılı bir şekilde çözmesi yıllar alabilir, ancak sonuç olarak bir fırtına geliyor.”
Bilgiler tek bir kaynaktan çalındığında, örneğin Target müşteri verilerinin Target’tan çalınması gibi, bu kaynağı tespit etmek nispeten kolaydır. Ancak, bir veri aracısından bilgi çalındığında ve şirket olay hakkında bilgi vermediğinde, bilginin meşru olup olmadığını ve nereden geldiğini belirlemek çok daha karmaşıktır. Genellikle, verileri bir ihlalde tehlikeye giren kişiler (gerçek kurbanlar) bilgilerinin National Public Data tarafından tutulduğunun farkında bile olmazlar.
Çarşamba günü Ulusal Kamu Verisi hazinesinin içeriği ve kökeni hakkında bir blog yazısında, güvenlik araştırmacısı Troy Hunt şunları yazdı: “Gerçeği bilen tek taraflar, verileri yayan anonim tehdit aktörleri ve veri toplayıcılarıdır… Kamuoyunda dolaşımda olan 134 milyon e-posta adresi ve net bir köken veya hesap verebilirlik yok.”