saatler önce uzun Amerika Birleşik Devletleri’nde hafta sonu tatilinde, elektronik devi Samsung, bir ay önce ABD sistemlerinin, belirsiz sayıda müşterisi hakkında çok sayıda kişisel bilgi ile girip çıkan kötü niyetli bilgisayar korsanları tarafından ihlal edildiğini duyurdu.
Veri ihlali büyük olasılıkla önemlidir. Samsung, dünya çapında yüz milyonlarca cihaz sahibi ve kullanıcısı olan en büyük teknoloji şirketlerinden biridir. Ancak Samsung’un yetersiz açıklanmış veri ihlali bildirimi, veri ihlalini açıklamadaki açıklanamayan gecikmeyle birleştiğinde, müşterilerin çay yapraklarını okumasına ve kendilerini korumak için ne yapabilecekleri konusunda net bir fikir sahibi olmamasına neden oldu.
TechCrunch işaretlendi ve açıklamalı Samsung’un veri ihlali bildirimi ?️ ne anlama geldiğine ve Samsung’un neyi dışarıda bıraktığına dair analizimizle.
Kriz iletişim firması Edelman aracılığıyla Samsung’un sözcüleri, yayınlanmadan önce gönderdiğimiz soruları “kolluk kuvvetleriyle olan koordinasyonumuzun devam eden doğasına” atıfta bulunarak yanıtlamayı reddetti.
Samsung, veri ihlali bildiriminde ne dedi?
Samsung, güvenlik olayının bir veri ihlali olduğunu biliyor
Tüm güvenlik olayları eşit olarak oluşturulmaz. Kötü niyetli bilgisayar korsanları her zaman verileri çalmaz; bir şirketin sistemlerinin ve ağının nasıl kurulduğuna ve bilgisayar korsanlarının ne kadar uzağa gittiğine bağlıdır. Bu durumda, Samsung bunu biliyor veriler “alındı” ?️ – veya sızdırıldı – bilgisayar korsanları tarafından.
Unutmayın, bu yalnızca ilk ihlal açıklamasıdır. Samsung, şirketin size söyleyeceklerinin en azını sağlıyor. Bilgisayar korsanlarının müşterilerin kişisel bilgilerine erişmesi, Samsung’un bu verileri gerektiği kadar iyi korumadığını veya bilgisayar korsanlarının Samsung’un ağına o kadar derin erişime sahip olduklarını ve müşteri verilerine ve muhtemelen diğer son derece hassas dosyalara erişebildiklerini gösteriyor. Bu aynı zamanda, Lapsus$ hack ekibinin Mart ayında şirket sistemlerinden kaynak kodunu ve diğer gizli dahili belgeleri çalmasından sonra, hiçbir müşteri bilgisi alınmamasına rağmen Samsung’un bu yıl bilinen ikinci veri ihlalidir.
Müşterilerin kişisel bilgileri çalındı
SAMSUNG veri ihlali bildiriminde diyor ?️ bilgisayar korsanlarının “bazı durumlarda” müşteri adlarını, iletişim ve demografik bilgileri, doğum tarihini ve ürün kayıt bilgilerini aldığını söyledi. Bu, her Samsung müşterisinin etkilenmediğini gösteriyor, ancak Samsung’un veri ihlalinde ne kadar veri çalındığını henüz bilmediği anlamına da gelebilir.
İsimler ve doğum tarihleri kişisel bilgilerdir. Başka hangi verilerin çalındığı daha az açıktır, ancak ipuçları gizlilik politikasındadır.
Samsung daha önce TechCrunch’a, müşterilerin “servis ve destek, garanti bilgileri, yazılım güncellemeleri ve gelecekteki Samsung ürünlerinin satın alınmasına yönelik özel tekliflere” erişmek için cihazlarını kaydederken bilgi sağladığını söyledi. Bu veriler, Samsung ürün modelini, satın alma tarihini ve cihazın benzersiz tanımlayıcısını içerir. telefonlar için bir IMEI numarası gibi ve reklam kimlikleri veya akıllı TV’ler gibi diğer cihazlar için seri numaraları.
Benzersiz tanımlayıcılar, bir veri ihlali durumunda, bu rastgele harf ve sayı dizilerinin fazla kullanılmaması için takma ad olacak şekilde tasarlanmıştır. Ancak benzersiz tanımlayıcılar tamamen anonimleştirilmemiştir ve hedeflenen reklamcılık veya kullanıcıları tanımlamak veya birinin çevrimiçi etkinliğini izlemek için diğer verilerle birleştirilebilir.
Demografik veriler, kesin coğrafi konum verilerini içerir
Samsung’un veri ihlali bildirimi, bilgisayar korsanları tarafından çalınan “demografik bilgilerden” belirsiz bir şekilde söz ediyor. Samsung topladığını söylüyor bu belirtilmemiş demografik bilgiler ?️ “ürünlerimiz ve hizmetlerimizle mümkün olan en iyi deneyimi sunmaya yardımcı olmak” veya hedefli reklamcılığın başka bir yolu.
Samsung’un ABD’si Gizlilik Politikası bunu daha açık bir şekilde açıklar. “Reklam ağları, demografik verileri, kullanıcıların çıkarsanan ilgi alanlarını ve tarama bağlamını göz önünde bulundurarak mesajlarımızı kullanıcılara hedeflememize izin veriyor. Bu ağlar, tarayıcı tanımlama bilgileri, web işaretçileri, pikseller, cihaz tanımlayıcıları, sunucu günlükleri ve diğer benzer teknolojilerin kullanımı dahil olmak üzere otomatik araçlar aracılığıyla bilgi toplayarak kullanıcıların zaman içindeki çevrimiçi etkinliklerini izleyebilir.”
Samsung, TechCrunch’a “demografik bilgilerin” hangi belirli verileri içerdiğini söylemeyi reddetti, ancak şirketin ayrı bilgilerinde daha fazla ipucu var. reklam için gizlilik politikasıveri ihlali bildiriminde bağlantı verir ve hangi demografik bilgilerin içerdiğini açıklar.
Liste uzundur ve kendiniz için yakından okumak için zaman ayırmalısınız. Kısaltılmış sürüm, Samsung’un telefonunuz veya diğer cihazınız, hangi uygulamaları yüklediğiniz ve hangi web sitelerini ziyaret ettiğiniz gibi cihazınızı nasıl kullandığınız ve reklamcılar ve veri komisyoncuları tarafından çıkarım yapmak için kullanılan reklamlarla nasıl etkileşimde bulunduğunuz hakkında teknik bilgiler toplamasıdır. senin hakkında bilgi. Veriler, nereye gittiğinizi ve kiminle buluştuğunuzu belirlemek için kullanılabilecek “kesin coğrafi konum verilerinizi” de içerebilir. Samsung, izlediğiniz kanallar ve programlar da dahil olmak üzere akıllı TV’lerinde ne izlediğiniz hakkında bilgi topladığını söylüyor.
Samsung ayrıca, “güvenilir üçüncü taraf veri kaynaklarından başka davranışsal ve demografik veriler elde edebileceğini” söylüyor; bu, Samsung’un diğer şirketlerden veri satın aldığı ve sizin hakkınızda daha fazla bilgi edinmek için kendi müşteri bilgileri depolarıyla birleştirdiği anlamına geliyor. Samsung, veri komisyoncuları gibi hangi şirketlerden bu verileri aldığını söylemez.
Ancak kötü aktörlerin elindeki aynı veriler, bir kişi ve çevrimiçi alışkanlıkları hakkında çok şey ortaya çıkarabilir.
Samsung neden veri ihlali bildiriminde bunlardan hiçbirini söylemiyor? Veriler kişisel olarak tanımlanabilir olmasa da, zevkler, tercihler ve gerçek dünyadaki faaliyetlerimizle bağlantılı olduğu için doğası gereği hala kişiseldir; bu nedenle, Samsung gibi şirketlerin sizin hakkınızda topladığı temel ayrıntılar genellikle gömülüdür. kimsenin okumadığı gizlilik politikaları (ve hepimiz bundan suçluyuz).
Samsung, üçüncü taraflardan alınan verilerin ihlali nedeniyle tehlikeye girip girmediğini söylemeyi reddetti, ancak sözcülere yayınlanmadan önce ulaşıldığında nitelendirmelerimize itiraz etmedi.
Samsung’un veri ihlali bildiriminde söylemediği şey
Samsung, kaç müşterinin etkilendiğini söylemeyecek
Samsung, TechCrunch’a ihlalden kaç müşterinin etkilendiğini söylemeyi reddetti. Her iki Samsung da bilmiyor olabilir, bu da etkilendiğine inandığı müşterilere zaten e-posta gönderdiği için olası değildir. Veya, hangisi daha olası ?️Etkilenen müşteri sayısı o kadar fazla ki, şirket bunu utanç verici bulacağı için Samsung bilmenizi istemiyor.
Samsung’un yüz milyonlarca kullanıcısı var, ancak nadiren kaç müşterisi olduğunu ortaya çıkarıyor. Etkilenen müşterilerin %1’i bile milyonlarca veya on milyonlarca etkilenen kullanıcıya ulaşabilir.
Sosyal Güvenlik numaralarından neden bahsedildiği belli değil
Veri ihlali bildirimi dikkat çekici notlar ?️ ihlalin “Sosyal Güvenlik numaralarını veya kredi ve banka kartı numaralarını etkilemediğini” söyledi. Görünüşte güven verici, ancak ifade belirsiz. TechCrunch, Samsung’a Sosyal Güvenlik numaralarını toplayıp saklamadığını ve bu verilerin etkilenmediğini sordu, ancak şirket söylemeyi reddetti – yalnızca sorunun Sosyal Güvenlik numaralarını “etkilemediğini” söyledi. Samsung, Sosyal Güvenlik numaralarını finansman seçeneklerinin bir parçası olarak ve Samsung Money kullanıcıları için gereksinim.
Müşterileri bilgilendirmek neden bir ay sürdü?
Bakmak ihlalin zaman çizelgesi ?️, Samsung, bilgisayar korsanlarının verileri “2022 Temmuz’unun sonlarında” çaldığını, cömert bir okumanın Temmuz ortasından sonraki herhangi bir nokta olarak yorumlayabileceğini söylüyor. Samsung tarihi ifşa edebilir – eğer biliyorsa. Ayrıca bunun, Samsung’un verilerin ağından sızdırıldığını söylediği tarih olduğunu ve bu, bilgisayar korsanlarının nihayet keşfedilmeden önce Samsung’un sistemlerinde ne kadar zaman harcadıklarını içermediğini de belirtmekte fayda var. 4 Ağustos’ta verilerin sızdırıldığını keşfetti, bu da Samsung’un müşteri verilerinin çalındığını haftalarca bilmediği anlamına geliyor.
İhlalin bir ay sonra, uzun bir tatil hafta sonundan önceki Cuma günü mesai bitimine saatler kala açıklanmasına gelince? Bu sadece kötü PR.
Samsung, ihlali ifşa ettiği için gizlilik politikasını güncelledi
Aynı gün, Samsung veri ihlalini duyurdu. yeni bir gizlilik politikası başlattı kullanıcılarına. TechCrunch’ı bu konuda uyaran bir okuyucu sayesinde, şimdi yeni politika açıkça belirtiyor ?️ Samsung, kullanıcının izniyle pazarlama ve reklam için bir müşterinin “kesin coğrafi konumunu” kullanabilir. Yeni politika da şimdi heceliyor ?️ Samsung’un, kullanıcıların Hızlı Paylaşım özelliğinden paylaştığı verileri ne kadar süreyle sakladığını gösterir. Samsung, “paylaştığınız içerikleri toplayabileceğini ve 3 gün boyunca erişilebilir kalacağını” söyledi.
TechCrunch, Samsung’a kullanıcı onayı olarak tanımladığı şeyi nasıl tanımladığını sordu, ancak bir sözcü söylemedi. Samsung, hangi nedenle yeni bir gizlilik politikası uyguladığını söylemedi, ancak güncellemenin olayla “ilgisiz” olduğunu ve önceden planlandığını iddia etti.