Geçen yıl derlediğimiz Kurumsal devlerin hack ve ihlallerle karşı karşıya kaldıklarında sergilediği kötü davranışları inceleyen 2022’nin en kötü ele alınan veri ihlallerinin listesi. Bu, kişisel bilgilerin sızmasının gerçek dünyadaki etkisini küçümsemekten temel soruları yanıtlamadaki başarısızlığa kadar her şeyi içeriyordu.
Bu yıl birçok kuruluşun aynı hataları yapmaya devam ettiği ortaya çıktı. İşte güvenlik olaylarına nasıl müdahale edilmeyeceğine dair bu yılın dosyası.
Seçim Komisyonu büyük bir hack olayının ayrıntılarını bir yıl boyunca sakladı ama yine de ağzını sıkı tutuyor
Birleşik Krallık’taki seçimleri denetlemekten sorumlu gözlemci olan Seçim Komisyonu, Ağustos ayında tam adlar, e-posta adresleri, ev adresleri, telefon numaraları ve her türlü kişisel resim de dahil olmak üzere kişisel ayrıntılara erişen “düşman aktörler” tarafından hedef alındığını doğruladı. 40 milyon kadar İngiliz seçmeninin katılımıyla Komisyon’a gönderildi.
Seçim Komisyonu siber saldırı ve etkisi konusunda açık sözlü gibi görünse de olay, bilgisayar korsanlarının Komisyon sistemlerine ilk kez erişim sağladığı Ağustos 2021’de (yaklaşık iki yıl önce) meydana geldi. Komisyon’un bilgisayar korsanlarını suçüstü yakalaması bir yıl daha sürdü. BBC ertesi ay bildirdi hackerların organizasyona girdiği sıralarda gözlemcinin temel bir siber güvenlik testinde başarısız olduğu ortaya çıktı. Saldırıyı kimin gerçekleştirdiği veya bilinip bilinmediği ve Komisyonun nasıl ihlal edildiği henüz açıklanmadı.
Samsung, yıl boyu süren veri ihlalinden kaç müşterinin etkilendiğini söylemeyecek
Samsung bir kez daha kötü ele alınan ihlaller listemize girdi. Elektronik devi, bilgisayar korsanlarının Birleşik Krallık merkezli müşterilerinin kişisel verilerine erişmesine olanak tanıyan sistemlerinin bir yıl boyunca ihlal edilmesiyle ilgili sorularla karşılaştığında bir kez daha tipik ağzı sıkı yaklaşımını sergiledi. Mart ayında etkilenen müşterilere gönderilen bir mektupta Samsung, saldırganların Temmuz 2019 ile Haziran 2020 arasında İngiltere’deki mağazasında alışveriş yapan müşterilerin belirtilmemiş kişisel bilgilerine erişmek için isimsiz bir üçüncü taraf iş uygulamasındaki bir güvenlik açığından yararlandığını itiraf etti.
Mektupta Samsung, bu uzlaşmayı ancak üç yıl sonra Kasım 2023’te keşfedebildiğini itiraf etti. TechCrunch tarafından sorulduğunda teknoloji devi, olayla ilgili kaç müşterinin etkilendiği veya nasıl etkilendiği gibi başka soruları yanıtlamayı reddetti. Bilgisayar korsanları dahili sistemlerine erişmeyi başardı.
Bilgisayar korsanları Shadow verilerini çaldı ve Shadow sessiz kaldı
Fransız bulut oyun sağlayıcısı Shadow, Ekim ayında şirkette yaşanan bir ihlalin gizemini koruması nedeniyle adının hakkını veren bir şirket. Etkilenen Shadow müşterilerine gönderilen bir e-postaya göre, ihlalde saldırganlar Shadow’un çalışanlarından birine karşı müşterilerin özel verilerine erişime izin veren bir “gelişmiş sosyal mühendislik saldırısı” gerçekleştirdi.
Ancak olayın tam etkisi bilinmiyor. TechCrunch, şirketten çalındığına inanılan, müşteri hesaplarına karşılık gelen özel API anahtarlarını içeren 10.000 benzersiz kayıt içeren bir veri örneğini elde etti. TechCrunch tarafından sorulduğunda şirket yorum yapmayı reddetti ve Avrupa yasalarının gerektirdiği şekilde Fransa’nın veri koruma düzenleyicisi CNIL’e ihlal konusunda bilgi verip vermediğini söylemedi. Şirket ayrıca, etkilenen müşterilere gönderilen e-postalar dışında ihlalle ilgili haberleri kamuya açıklayamadı.
Lyca Mobile ne tür bir siber saldırının gerçekleştiğini söylemeyi reddetti
İngiltere merkezli mobil sanal ağ operatörü Lyca Mobile, ekim ayında milyonlarca müşterisinin geniş çaplı kesintiye uğramasına neden olan bir siber saldırının hedefi olduğunu söyledi. Lyca Mobile daha sonra, isimsiz saldırganların hack sırasında “sistemimizde tutulan kişisel bilgilerin en azından bir kısmına” eriştiği bir veri ihlalini itiraf etti.
Aradan iki aydan fazla süre geçti ve Lyca Mobile, sistemlerinden hangi verilerin çalındığını (kimlik kartları ve finansal veriler gibi hassas kişisel bilgilerin saklanmasına rağmen) veya 16 milyon müşterisinden kaçının etkilendiğini hâlâ söylemedi. ihlal nedeniyle. TechCrunch’ın tekrarlanan taleplerine rağmen şirket, olayın fidye yazılımı olarak sunulmasına rağmen olayın niteliği hakkında yorum yapmayı da reddetti.
MGM Resorts, saldırının ardından kaç müşterinin verilerinin çalındığını hâlâ söylemedi
MGM Resorts’un ihlali 2022’nin en unutulmaz olaylarından biri; Olayda, Scattered Spider olarak bilinen bir çeteyle bağlantılı bilgisayar korsanlarının şirketin sistemlerini tehlikeye atarak MGM’nin Las Vegas otelleri ve kumarhanelerinde haftalarca kesintiye neden olduğu görüldü. MGM, kesintinin şirkete en az 100 milyon dolara mal olacağını söyledi.
MGM, bilgisayar korsanları tarafından hedef alındığını ilk kez 11 Eylül’de açıklamıştı. Ancak şirket, düzenleyici bir dosyada saldırganların Mart 2019’dan önce MGM Resorts ile işlem yapan müşterilere ait bazı kişisel bilgileri elde ettiğini Ekim ayına kadar doğruladı. Buna müşteri adları, iletişim bilgileri, cinsiyet, doğum tarihleri, sürücü belgesi numaraları ve bazı müşteriler için Sosyal Güvenlik numaraları ve pasaport taramaları dahildir.
Üzerinden üç aydan fazla süre geçti ve hâlâ kaç MGM müşterisinin etkilendiğini bilmiyoruz. MGM sözcüleri TechCrunch’ın olayla ilgili sorularını yanıtlamayı defalarca reddetti.
Bulaşık ihlali milyonları, hatta çok daha fazlasını etkileyebilir
Şubat ayında uydu TV devi Dish, kamuya açık bir dosyada devam eden kesintinin nedeninin fidye yazılımı saldırısı olduğunu doğrulamış ve bilgisayar korsanlarının müşterilerin kişisel bilgilerini içerebilecek verileri sistemlerinden sızdırdığı konusunda uyarmıştı. Ancak Dish o zamandan beri önemli bir güncelleme sağlamadı ve müşteriler hâlâ kişisel bilgilerinin risk altında olup olmadığını bilmiyor.
TechCrunch, şirketin sessizliğine rağmen ihlalin etkisinin Dish’in 10 milyon kadar müşterisinin çok ötesine geçebileceğini öğrendi. Eski bir Dish perakendecisi TechCrunch’a, Dish’in müşteri adları, doğum tarihleri, e-posta adresleri, telefon numaraları, Sosyal Güvenlik numaraları ve kredi kartı bilgileri dahil olmak üzere çok sayıda müşteri bilgisini sunucularında tuttuğunu söyledi. Kişi, bu bilgilerin, Dish’in ilk kredi kontrolünden geçemeyen potansiyel müşteriler için bile süresiz olarak saklandığını söyledi.
CommScope kendi çalışanlarına verilerinin çalındığını söylemekte geç kaldı
TechCrunch, CommScope çalışanlarının şirketteki kişisel bilgilerini etkileyen bir veri ihlali konusunda bilgisiz kaldıklarını söylediklerini duydu. Çeşitli müşterilere yönelik ağ altyapısı ürünleri tasarlayan ve üreten Kuzey Carolina merkezli şirket, Nisan ayında Vice Society fidye yazılımı çetesi tarafından hedef alındı. Çete tarafından sızdırılan ve TechCrunch tarafından incelenen veriler arasında binlerce CommScope çalışanının tam adları, posta adresleri, e-posta adresleri, kişisel numaraları, Sosyal Güvenlik numaraları, pasaport taramaları ve banka hesap bilgileri dahil olmak üzere kişisel verileri yer alıyordu.
CommScope, sızdırılan çalışan verileriyle ilgili sorularımızı yanıtlamayı reddetti ve etkilenenlere de yanıt vermedi. Birkaç çalışan TechCrunch’a o dönemde CommScope yöneticilerinin ihlal konusunda ağzı sıkı kaldığını ve bunun ötesinde çalışan verilerinin olaya karıştığına dair “kanıt olmadığını” söyleyen çok az şey söylediğini söylemişti.