Nisan ayından bu yana, çalıntı verileri satma geçmişi olan bir bilgisayar korsanı, ABD’li bir veri komisyoncusu tarafından milyarlarca kaydın (en az 300 milyon insanı etkileyen) ihlal edildiğini iddia etti ve bu, bunu yılın en büyük iddia edilen veri ihlallerinden biri haline getirecek.
TechCrunch tarafından görülen veriler, kusurlu olsa da kendi başına kısmen meşru görünüyor. Bilinen bir siber suç forumunda duyurulan çalınan verilerin, iddiaya göre yıllar öncesine dayandığı ve ABD vatandaşlarının tam adlarını, ev adresi geçmişlerini ve Sosyal Güvenlik numaralarını içerdiği iddia ediliyor; bu veriler, veri komisyoncuları tarafından yaygın olarak satışa sunuluyor.
Ancak iddia edilen veri hırsızlığının kaynağının doğrulanmasının sonuçsuz kaldığı kanıtlandı; veri komisyonculuğu endüstrisinin doğası gereği, bireylerin kişisel verilerini farklı kaynaklardan çok az kalite kontrolüyle veya hiç kalite kontrolü olmadan silip süpürüyor.
Bilgisayar korsanına göre, söz konusu olduğu iddia edilen veri komisyoncusu, kendisini “İnternetteki en büyük kamu kayıt sağlayıcılarından biri” olarak tanıtan National Public Data’dır.
Resmi web sitesinde, Ulusal Kamu Verileri talep edildi çeşitli veritabanlarına erişim satmak için: müşterilerin Sosyal Güvenlik numarasına, isme ve doğum tarihine, adrese veya telefon numarasına göre arama yapabileceği bir “Kişi Bulucu”; “250 milyondan fazla kişiyi kapsayan” ABD tüketici verilerinin yer aldığı bir veritabanı; 100 milyon ABD vatandaşı hakkında bilgi içeren seçmen kayıt verilerini içeren bir veritabanı; bir sabıka kaydı, bir ve birkaç tane daha.
Kötü amaçlı yazılım araştırma grubu vx-underground X’te söyledi (eski adıyla Twitter), çalınan veri tabanının tamamını incelediklerini ve “içinde bulunan verilerin gerçek ve doğru olduğunu doğrulayabileceklerini” söyledi.
Grup, “Bilgilerinin araştırılmasına izin veren birkaç kişiyi aradık” diye yazdı ve bu kişilerin isimleri, otuz yılı aşkın bir süre öncesine ait adres geçmişi ve Sosyal Güvenlik numaraları da dahil olmak üzere bilgilerini bulabildiklerini ekledi.
“Ayrıca ebeveynlerini ve en yakın kardeşlerini bulmamıza da olanak sağladı. Birinin kimliğini tespit edebildik [sic] vx-underground, ebeveynleri, ölen akrabaları, amcaları, teyzelerini ve kuzenlerini yazdı.
TechCrunch, verilerin gerçekliğini doğrulamak için benzer çabalar gösterdi ancak karışık sonuçlar elde edildi.
Bize Ulaşın
Bu olay veya benzeri olaylar hakkında daha fazla bilginiz var mı? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. Zulkarnain Saer Khan’a +36707723819 numaralı telefondan Signal veya X üzerinden de ulaşabilirsiniz. @ZulkarnainSaer. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
Beş milyon kayıttan oluşan daha küçük bir örnek üzerinde yaptığımız incelemede, ilgili genel kayıtlarla eşleşen çok sayıda isim ve adres bulduk, ancak aynı zamanda her zaman anlamlı olmayan bazı veriler de bulduk; ilişkili bireyin verilerinin geri kalanı. Bazı kayıtlar, eski bir ABD başkanının kişisel verileri de dahil olmak üzere bilinen yüksek profilli kişiler hakkında iddia edilen bilgileri içeriyordu.
TechCrunch, bilgisayar korsanının gerçekten meşru verilere sahip olduğunu doğrulamak amacıyla verileri satan bilgisayar korsanı USDoD’ye izin veren sekiz kişinin adlarını verdi. Bilgisayar korsanı sekiz kişiyle ilgili herhangi bir veri döndürmedi.
TechCrunch ayrıca numaraları ve e-postaları örnekte yer alan yüz kişiye ulaştı. Yalnızca bir kişi yanıt verdi ve çalındığı iddia edilen verilerinin bir kısmının doğru olduğunu ancak tamamının doğru olmadığını doğruladı.
Doğrudan veri hırsızlığının iddia edilen kaynağına gitmek de pek bir sonuç vermedi.
Şirketle iletişime geçmek için yapılan birçok girişime rağmen National Public Data yanıt vermedi ve kurucusu ve CEO’su Salvatore Verini de yanıt vermedi. TechCrunch’ın geçen hafta Ulusal Kamu Verilerine ilk ulaşmasının ardından şirket, erişim sattığı veritabanlarının ayrıntılarını içeren web sitesi sayfalarını kaldırdı.
Bilgisayar korsanları tarafından iddia edilen tüm veri ihlallerinin, özellikle de bilgisayar korsanlığı forumlarında reklamı yapılanların gerçek olmadığı ortaya çıkıyor. Bu nedenle TechCrunch ve diğer siber güvenlik muhabirleri bir veri ihlalini doğrulamak için sıklıkla önemli miktarda zaman harcıyor ve bu çabalar bazen sonuçsuz kalıyor.
Ancak bir veri komisyoncusunun bu iddia edilen ihlali, kısmen verilerin bazılarının gerçek ve bazılarının zaten doğrulanmış görünmesi nedeniyle aykırı bir durum gibi görünüyor.
Veri komisyoncusu endüstrisinde kişisel verilerin çoğalması ve metalaşması, veri sızıntılarının kaynağının belirlenmesini de daha zor hale getiriyor. Ve bu özel veri ihlali çözülmeden kalsa bile, veri komisyoncusu sektörünün kontrolden çıktığını ve sıradan insanlar için gerçek gizlilik sorunları yarattığını bir kez daha gösteriyor.
Bu veri ihlalinin gizemini kesin olarak çözemedik ancak doğrulama çabalarımızı detaylandırmaya yetecek kadar bilgi vardı. Bir şey açık. Veri komisyoncuları kişisel bilgileri topladığı sürece verilerin dışarı çıkma riski devam ediyor.