Verizon Communications, 2021’de satın alınmasının ardından tamamen kendisine ait yan kuruluşu TracFone Wireless’ta yaşanan üç veri ihlali olayıyla ilgili olarak ABD’deki Federal İletişim Komisyonu’na (FCC) 16.000.000 dolarlık bir anlaşma ödemeyi kabul etti.
TracFone, Total by Verizon Wireless, Straight Talk ve Walmart Family Mobile aracılığıyla hizmet sunan bir telekomünikasyon servis sağlayıcısıdır.
Duyurulan uzlaşma anlaşması, ağır para cezasının yanı sıra, iletişim firmasının bundan sonra müşterileri için veri güvenliği seviyesini artırmak amacıyla belirli önlemler uygulamasını da gerektiriyor.
Birden fazla veri ihlali
TracFone’da veri ihlalleri 2021-2023 yılları arasında üç ayrı olayla gerçekleşti.
İlki, ‘Çapraz Marka’ olayı olarak adlandırılan, 14 Ocak 2022’de TracFone tarafından kendi kendine bildirilen olaydı. Şirket bunu Aralık 2021’de keşfetti, ancak soruşturma, tehdit aktörlerinin Ocak 2021’den beri müşteri verilerine erişebildiğini gösterdi.
Kişisel olarak tanımlanabilir bilgiler (PII) ve müşteriye ait özel ağ bilgileri (CPNI) de dahil olmak üzere hassas bilgilere erişim sağlayan tehdit aktörleri, çok sayıda yetkisiz numara taşıma talebi onayı gerçekleştirdi.
Kararnamede, “Bu olayla bağlantılı olarak tehdit aktörleri kimlik doğrulama ve sınırlı sayıda API ile ilgili bazı güvenlik açıklarını istismar etti” ifadeleri yer aldı.
“Tehdit aktörleri bu güvenlik açıklarından yararlanarak bazı müşteri bilgilerine yetkisiz erişim sağlamayı başardılar.”
Diğer iki veri ihlali olayı ise sırasıyla 20 Aralık 2022 ve 13 Ocak 2023’te bildirilen TracFone’un sipariş siteleriyle ilgili.
Her iki durumda da kimliği doğrulanmamış tehdit aktörleri, belirli CPNI ve diğer müşteri verileri de dahil olmak üzere sipariş bilgilerine erişmek için bir güvenlik açığından yararlandı.
FCC’nin kararname belgesinde, “Tehdit aktörü(leri) bu güvenlik açığından yararlanmak için iki farklı yöntem kullandı (TracFone ilk yöntemi başarıyla engellediğinde ikinci bir yönteme geçtiler),” açıklaması yer alıyor.
“TracFone nihayetinde Şubat 2023’e kadar temeldeki güvenlik açığı için uzun vadeli bir düzeltme uyguladı.”
Rıza Kararnamesi’nin kamuya açık versiyonunda ifşa olan kişi sayısı ve SIM kart değiştirme olayları sansürlenmiştir.
Uzlaşma anlaşması, TrackFone’un 28 Şubat 2025 tarihine kadar aşağıdaki önlemleri uygulaması gerektiğini hükme bağlıyor:
- NIST ve OWASP gibi standartlara uyarak, güvenli API kontrolleri uygulayarak ve güvenlik önlemlerini düzenli olarak test edip güncelleyerek API güvenlik açıklarını azaltmak için zorunlu bir bilgi güvenliği programı geliştirin.
- SIM değişikliği ve numara taşıma talepleri için güvenli kimlik doğrulamayı içeren SIM değişikliği ve numara taşıma korumalarını uygulayın, müşterileri bu tür talepler konusunda bilgilendirin ve numara taşıma PIN’leri sunun.
- Programın etkinliğini garanti altına almak için bilgi güvenliği yıllık değerlendirmeleri gerçekleştirin; yeterliliğini ve olgunluğunu değerlendirmek için ise her iki yılda bir bağımsız üçüncü taraf değerlendirmeleri yapın.
- Müşteri verilerini koruma ve güvenlik protokollerine uyma yeteneklerini artırmak için çalışanlara yönelik yıllık gizlilik ve güvenlik farkındalık eğitimleri düzenleyin.
BleepingComputer, kaç müşterinin etkilendiğini sormak için Verizon ve TracFone ile iletişime geçti, ancak henüz bir yanıt alamadık.