30 Haziran’da bilinmeyen bir kişinin popüler bir yeraltı forumunda Çin’deki yaklaşık 1 milyar kişiye ait 23 TB’lık şaşırtıcı bir kişisel tanımlayıcı bilgiyi (PII) satışa çıkardığı bir olay etrafında sorular dönmeye devam ediyor.
Ve bu arada, veritabanı Dark Web’de dalgalanmalara neden olmaya devam ediyor.
Veri kümesine, Alibaba’nın bulut barındırma platformunda barındırılan güvenli olmayan bir Şanghay polis veritabanından erişildiği bildirildi. Çin vatandaşları ve hatta son birkaç yıl içinde Şanghay’ı ziyaret etmiş olabilecek yabancı uyruklularla ilgili isimleri, adresleri, doğum yerlerini, telefon numaralarını, ulusal kimlikleri ve sabıka kayıtlarını içeriyordu. Veritabanı hala 20 bitcoin veya şu anda yaklaşık 240.000 $ karşılığında satılmaya hazır.
Sızıntının, veritabanını yönetmek için bir gösterge panosunun bir yıldan fazla bir süre boyunca şifresiz olarak İnternet’e açık bırakılmasından kaynaklandığına inanılıyor. Olay, bugüne kadarki en büyük PII tavizlerinden birini temsil etse de, bununla ilgili haberlerin Çin’de büyük ölçüde karartıldığı bildirildi.
Bununla birlikte, Cybersixgill’deki devasa ihlalin ardından takip eden araştırmacılara göre, bu, ülkenin üretken bilgisayar korsanlığı topluluğunun üyelerinin verilerin mevcut olduğu yer altı forumuna akın etmesini engellemedi. Ayrıca bir Çinli kuruluşların veri sızıntılarında kayda değer artış 30 Haziran’dan beri forumda paylaşıldığını kaydettiler.
Cybersixgill’deki Çinli istihbarat analisti Naomi Yusupov, “Bu ihlalin yeraltındaki yansımalarını uzunca bir süre göreceğimizi tahmin ediyoruz” diyor. Tehdit aktörlerinin sızdırılan verileri sosyal mühendislik kampanyalarında, daha fazla veriye erişmeye yönelik saldırılarda ve çeşitli diğer kötü niyetli yollarla deneyip kullanmasını bekliyor.
Yusupov ayrıca, ihlalin, diğer tehdit aktörlerini, halihazırda gerçekleşmeye başladığı gibi, Çin’deki ihlallerden daha fazla veri paylaşmaya teşvik etmesini de bekliyor. Çinli tehdit aktörleri, Şanghay verilerinin yüksek fiyatını, Çin veritabanlarının genel olarak oldukça değerli olduğunun bir göstergesi olarak görüyor gibi görünüyor. Bu, daha fazla Çin veri sızıntısını teşvik edebilir, diyor.
“Forumda aktif olan Çinli kullanıcılardaki büyük artış, Çinliler ve İngiliz yeraltı arasındaki iletişimi ve bilgi transferini artırabilir” diye belirtiyor.
Başka Bir Bulut Yanlış Yapılandırmasından Daha Fazlası
Kuruluşların benzer şekilde hassas verileri, Amazon’un S3 ve ElasticSearch kovaları gibi güvenli olmayan, İnternet’e erişilebilen bulut depolama kovalarında bırakarak benzer şekilde ifşa ettiği sayısız örnek olmuştur. En son olay, Kolombiya ve Peru’daki havalimanı çalışanlarına ait ve yanlış yapılandırılmış bir Amazon S3 kovası aracılığıyla ifşa edilen 3 TB’lık hassas verileri içeriyordu.
Upguard gibi satıcılar, son yıllarda bu tür binlerce örnek tespit ettiğini bildirmiştir. UpGuard’ın en dikkate değer keşifler S3 kovalarında, birden fazla Facebook üçüncü taraf uygulamasından yaklaşık 540 milyon kayıt, GoDaddy’ye ait ticari sırlar ve Pocket Inet çalışanlarına ait 73 GB veri bulunur.
Şangay ihlalini dikkate değer kılan şey, onun katıksız ölçeğidir. Çoğu hesapta, şimdiye kadar bilinen en büyük PII uzlaşmalarından biridir.
Synopsys Software Integrity Group üyesi Ray Kelly, “Bunun gibi ihlalleri oldukça sık görüyoruz” diyor. “[But] Çin vatandaşları ve vatandaş olmayanlar hakkında içerdiği şaşırtıcı hacim ve PII kapsamı kesinlikle kırmızı bayraklara neden olacaktır.”
Ve burada söz konusu olan yalnızca veritabanının güvenliğini sağlamada görünen gecikme değil: “Başlangıçta 1 milyar kullanıcının PII’sini tek bir yerde depolamak akıllıca mıydı?” diye soruyor.
Netenrich’teki başlıca tehdit avcısı John Bambinek, bir başka büyük sorunun da bulut veritabanından indirilen 23 TB değerindeki veriyi neden kimsenin fark etmediğini söylüyor.
“Yedeklemeler dışında, tüm bir veri kümesini bu şekilde taşımayı içeren herhangi bir meşru kullanım durumu düşünemiyorum” diyor.
Çoğu zaman, veritabanı yöneticileri veritabanlarını insanlara okuma erişimi verecek şekilde ayarlar ve nadiren birinin bu erişimi ne zaman kötüye kullandığını tespit etmek için kontrollere sahiptir. Buna rağmen, “temel ağ anormalliği tespiti muhtemelen bunu yakalayabilirdi” diyor Bambinek.
Nadir Bir Bakış
Çin’deki büyük bir siber güvenlik olayının kamuya açık hale geldiği çok az örnek olduğu için, Şanghay polisi veri güvenliği de dikkate değer.
Cybersixgill’den Yusupov, “Çin tarihsel olarak dünyanın en büyük siber suçlu topluluklarından birine ev sahipliği yapmış olsa da, Çin hükümeti medyadaki haberleri sansürlediği için yerel Çin ihlalleri nadiren ifşa ediliyor” diyor. Örneğin, Weibo ve WeChat gibi büyük Çin sosyal medya platformları, Şanghay polis veritabanı ihlali haberlerini sansürledi.
Yusupov, buna rağmen Çin’deki ihlallerin ayrıntılarının dış dünyaya sızdığı başka örnekler de olduğunu belirtiyor. Bir örnek, anonim bir hacker’ın, Alibaba Group’un kurucusu Jack Ma ve Dalian Wanda Group’tan emlak kralı Wang Jianlin gibi düzinelerce Çinli Komünist Parti yetkilisi ve Çinli iş adamıyla ilgili hassas bilgileri ifşa etmek için Twitter’a götürdüğü 2016 olayıdır.
Diğer örnekler arasında, kötü niyetli bir aktörün 538 milyondan fazla kullanıcının verilerini çaldığı ve Mayıs ayında Çin’in kuzey Xinjiang bölgesinden on binlerce saldırıya uğramış dosyanın serbest bırakıldığı ve orada Uygur etnik azınlığına yapılan zulmü açığa vurduğu 2020 olayı sayılabilir. diyor.