Sarsılan Verilerin Özgürlüğü
Son dönemde, Hindistan’da bir bulut sunucusunun güvenlik açığı nedeniyle yüz binlerce hassas banka transferi belgesi ifşa oldu. Bu durum, hesap numaraları, işlem tutarları ve bireylerin iletişim bilgileri gibi kritik verilerin internete sızmasına neden oldu. Cybersecurity firması UpGuard tarafından yapılan araştırmalar, bu olayın geçtiğimiz Ağustos ayının sonlarında meydana geldiğini ortaya koydu. Bulunulan Amazon sunucusunda 273,000 PDF dosyası, Hindistan’daki banka müşterilerine ait işlemleri içeriyordu.
Bu ifşa edilen dosyalar, Ulusal Otomatik Temizleme Evi (NACH) aracılığıyla işlenmesi planlanan tamamlanmış işlem formlarını içeriyordu. NACH, Hindistan’daki bankaların yüksek hacimli tekrar eden işlemleri (maaşlar, kredi ödemeleri ve fatura ödemeleri gibi) kolaylaştıran merkezi bir sistemdir. Araştırmacılar, ifşa olan verilerin en az 38 farklı banka ve finansal kurum ile bağlantılı olduğunu belirtti.
Verilerin neden açıkça internette erişilebilir durumda bırakıldığı net değil. Ancak türü gibi güvenlik zaafları, yanlış yapılandırmalar ve insan hataları nedeniyle sıkça yaşanmaktadır. Bu olayın kimler tarafından gerçekleştirildiği, verilerin nasıl güvence altına alındığı ve kişisel verilerin ifşa olan sahiplerine nasıl haber verileceği henüz belli değildir.
Verilerin Gizliliği ve Sorumluluk
UpGuard araştırmacıları, bulgularını ayrıntılı bir şekilde anlatan bir blog yazısı yayımladı. Örnek olarak inceledikleri 55,000 belge arasında, belgelerin yarısından fazlasında Hindistanlı Aye Finance bankasının adı geçmektedir. Bu banka, geçen yıl 171 milyon dolarlık bir halka arz için başvurmuştu. Araştırmacıların belirttiğine göre, sonraki sık görülen kurum Hindistan Devlet Bankası oldu.
UpGuard, ifşa edilen verileri tespit ettikten sonra Aye Finance’a kurumsal, müşteri hizmetleri ve şikayet giderme e-posta adresleri aracılığıyla bildirimde bulunmuştur. Ayrıca, NACH’ı yöneten Ulusal Ödemeler Kurumu’na (NPCI) da haber verilmiştir. Ancak Eylül ayı başlarında yapılan bildirimlere rağmen, verilerin hala ifşa durumda olduğu ve her gün binlerce dosyanın bu sunucuya eklendiği belirtildi.
UpGuard daha sonra Hindistan’ın bilgisayar acil durum yanıt ekibine (CERT-In) haber vermiştir. Kısa süre içinde, ifşa edilen verilerin güvenli hale getirildiği kaydedilmiştir. Ancak, bu güvenlik açığı için kimsenin sorumluluk almak istemediği görülüyor.
Sorumluluk Alma Fazlası
TechCrunch’a ulaşıldığında, NPCI sözcüsü Ankur Dahiya, ifşa edilen verilerin kendi sistemlerinden kaynaklanmadığını belirtti. “Detaylı bir doğrulama ve inceleme, NPCI sistemlerinden herhangi bir NACH talimat bilgisi veya kaydının ifşa edilmediğini/tehdit edilmediğini doğrulamıştır,” diye e-posta ile yanıt verdi.
Aye Finance’ın kurucu ortağı ve CEO’su Sanjay Sharma, TechCrunch’a gelen yorum taleplerine yanıt vermemiştir. Hindistan Devlet Bankası da benzer şekilde herhangi bir yorum yapmamıştır.
Sonuç olarak, bu tür veri sızıntıları, finansal güvenliği tehdit eden ciddi bir sorun olarak karşımıza çıkıyor. İnsan hataları veya sistem yanlış yapılandırmaları gibi basit sebepler bile, yüz binlerce insan için sonuçları ağır olan veri ihlallerine yol açabiliyor. Kurumların bu tür olaylara karşı daha dikkatli ve proaktif olması gerekmektedir. Verilerin güvenliği, her bireyin ve kurumun sorumluluğunda olmalı; bu tür ihlallerin önüne geçilmesi için gerekli adımlar atılmalıdır. Aksi takdirde, hem bireylerin hem de kurumların güvenlikleri riske girebilir.
Burada önemli olan, her kullanıcının veri güvenliği konusunda bilinçlenmesi ve kurumların şeffaf bir iletişim ile sorumluluk almalarıdır. Unutulmamalıdır ki, dijital ortamda veri güvenliği sağlamak her birimizin ortak sorumluluğudur.
