Veri toplayıcı National Public Data (NPD), ABD, İngiltere ve Kanada’daki potansiyel olarak yüz milyonlarca tüketiciye ait kişisel kimlik kayıtlarını ifşa eden bir ihlali nihayet doğruladı.
Birinde ifade Coral Springs, Fla. merkezli şirket, çok az ayrıntı sunmasına rağmen, son günlerde çok sayıda kişinin bildirdiği, “üçüncü taraf kötü aktörün” Nisan 2024’te NPD’lerin veri tabanlarından verilere eriştiği bilgisini kabul etti. Şirket, tehdit aktörünün eriştiği verilerin tam adlar, e-posta adresleri, telefon numaraları, Sosyal Güvenlik numaraları ve bilinmeyen sayıda kişiye ait posta adreslerini içerdiğini açıkladı.
Gerçek ve Doğru Veriler
NPD’nin tavsiyesi, şirketin benzer bir olaya karşı koruma önlemleri aldığına dair her zamanki kalıplaşmış ifadeleri içeriyordu ancak kimlik hırsızlığına ve güvenlik zaafından kaynaklanan diğer dolandırıcılıklara karşı kendilerini korumak için önlem alma işini tamamen mağdurlara bırakıyordu. NPD, işletmelerin, özel dedektiflerin, insan kaynakları departmanlarının ve personel ajanslarının verilerini geçmiş kontrolleri, suç kayıtları elde etmek ve diğer amaçlar için kullandığını iddia eden bir veri toplayıcısıdır.
İhlalin haberi en azından Nisan ayından beri dolaşıyordu. Karanlık Web Zekası X’te, daha önce veri soygunlarıyla ünlenen bir hacker olan “USDoD” hakkında bir gönderi paylaştı ve NPD’den ABD, İngiltere ve Kanada’daki sakinlere ait yaklaşık 200 gigabayt kişisel bilgi içeren bir veritabanı elde etti. Tehdit aktörü, NPD veritabanının yaklaşık 2,9 milyar satır kayıt içerdiğini iddia etti. Birçoğu, ihlali şimdiye kadarki en büyük özel veri ihlallerinden biri olarak nitelendirerek, bunun yerine kurban sayısını yanlış bir şekilde bildirdi.
Kötü amaçlı yazılımlara ve siber suçlara odaklanan bir topluluk olan VX-underground, veri setini inceledim ve sızdırılan verilerin “gerçek ve doğru” olduğunu ve 30 yıldan uzun bir süre öncesine ait kişilerin adını, soyadını, SSN’sini, güncel adresini ve adreslerini içerdiğini değerlendirdi. “Ayrıca ebeveynlerini ve en yakın kardeşlerini bulmamızı sağladı,” dedi VX-underground. “Birinin ebeveynlerini, ölen akrabalarını, amcalarını, teyzelerini ve kuzenlerini tespit edebildik.”
Ayrıca NPD veri tabanında ölen kişilere ilişkin bilgiler de yer alıyor; bunlardan bazıları 20 yıldan uzun bir süredir ölmüş durumda.
“Have I Been Pwned” sitesini yöneten Troy Hunt, 134 milyon benzersiz bulgunun bildirildiği bildirildi e-posta adresleri ve milyonlarca satırlık suç kayıtları. Bu devasa veri setini, suçlular için yararlı verilerin bir karışımının yanı sıra, NPD’nin sayısız – ve artık izlenemez – kaynaktan kamuya açık verileri toplayarak oluşturduğu işe yaramaz, yanlış ve gereksiz veriler olarak değerlendirdi.
Kimlik Doğrulama İçin SSN Kullanımının Durdurulması Gerekiyor
Bu büyük ihlal, her zamanki endişeler Tüketicilerin kendilerine emanet ettiği verileri korumak için kuruluşların daha güçlü kontroller uygulaması gerekliliği hakkında. Apple’ın geçen yılki çalışması 2021 ve 2022 yıllarında 2,5 milyar tüketici kaydının ihlal edildiği tespit edildi.
Ancak bu durum, birçok kişi arasında, kuruluşların, hükümet birimlerinin ve diğerlerinin hemen hemen tüm işlemlerde birincil tanımlayıcı olarak SSN’leri kullanmayı bırakması gerektiği yönündeki uzun süredir devam eden duyguyu da yeniden gündeme getirdi.
“NPD birçok şeyi daha iyi yapmalıydı ama bizim için önemli olan bir şey var: SSN’den kurtulmanın zamanı çoktan geldi,” diyor Simbian CEO’su Ambuj Kumar. SSN’yi kriptografide ve Apple Wallet gibi bir teknolojide kullanılana benzer bir dijital kimlikle değiştirmenin nispeten kolay ve basit olduğunu söylüyor.
Kumar, “Engeller tamamen psikolojik ve eylemsizlikten kaynaklanıyor,” diyor. “Dijital kimliği, yalnızca hükümet ve birey tarafından bilinen, hükümet tarafından verilmiş bir kredi kartı numarası olarak düşünün,” diye belirtiyor. “Örneğin, bir ipotek başvurusunda bulunurken, orijinal numaradan bir belirteç üretilir ve bu yeni numara bankayla paylaşılır. Bankada bir ihlal olursa, banka yalnızca belirteci gördüğü için orijinal numara hala güvendedir.”
Tüketicilerin Yapabileceklerinin Bir Sınırı Var mı?
İhlal ayrıca tüketicilerin verilerini korumak için yapabileceklerinin sınırlarına da dikkat çekti. DataGrail’de güvenlik başkan yardımcısı olan Chris Deibler, parola yöneticilerini kullanma, çok faktörlü kimlik doğrulama ekleme ve hesap sıfırlamalarına dikkat etme gibi olağan önerilerin hiçbirinin NPD ihlalinde işe yaramayacağını söylüyor. Gerçek çaba şimdi kurumsal ve düzenleyici düzeyde olmalı ve daha fazla çaba, toplu veri toplamayı caydırmaya odaklanmalı.
“Şirketler bireylerle aynı uyaranlara yanıt vermez, bu yüzden daha iyi bir eğitim için savunuculuk yapmak ve evrenin ahlaki eğrisinin işini yapmasına izin vermek muhtemelen işe yaramayacaktır,” diyor Deibler. “Veri toplama ve yönetim kurulu düzeyinde risk yönetimi hakkındaki konuşmayı gerçekten değiştirecek kaldıraçlara ihtiyacınız var. Bu bağlamda, şirketler belirli yükümlülüklere yanıt verir – itibar, medeni, cezai, varoluşsal.”
Veri ihlalinde zarar gören tarafların, yalnızca bir yıllık ücretsiz kredi izlemenin çok ötesine geçen, kendilerine özel, yasal olarak tanımlanmış tazminatlar sağlandığını savunuyor. Benzer şekilde, müşteri verilerini bilerek riske atan şirketlerdeki yöneticiler, bir ihlal için cezai sorumluluğu paylaşmalıdır. “En korkunç durumlarda, müşteri verilerinde ciddi hatalar yaparsanız, bunu tekrar yapma fırsatına sahip olmamalısınız, kurumsal veya bireysel düzeyde.”