Hassas Verilerin Maruziyeti ve Sonuçları
Son dönemde yaşanan bir veri sızıntısı, Hindistan’daki birçok bankanın hassas transfer belgelerini açığa çıkardı. Bu olay, güvenlik açığı olan bir bulut sunucusundan kaynaklandı ve yüz binlerce banka transferine dair belgeleri içeriyordu. Hesap numaraları, işlem tutarları ve bireylerin iletişim bilgileri gibi kritik verilerin açığa çıkması, ciddi bir siber güvenlik meselesi olarak dikkat çekiyor.
Cybersecurity firması UpGuard, Ağustos sonlarında, Amazon’un barındırdığı kamuya açık bir depolama sunucusunda 273.000 PDF belgesinin bulunduğunu tespit etti. Bu belgeler, Hindistan’daki müşterilerin banka transferleriyle ilgiliydi. Söz konusu dosyalar, Hindistan’daki bankaların yüksek hacimli tekrarlayan işlemleri kolaylaştırmak için kullandığı National Automated Clearing House (NACH) sistemine gönderilmek üzere hazırlanmış işlem formlarını içeriyordu.
Bu maruz kalan veri, en az 38 farklı banka ve finans kurumu ile bağlantılıydı. Araştırmacılar, veri sızıntısının kaynağını belirleyemediklerini açıkladı. Ancak, Hindistan’daki bir finans teknoloji şirketi olan Nupay, TechCrunch’a bir e-posta göndererek, banka transferi formlarını içeren Amazon S3 depolama alanında “bir yapılandırma açığı” olduğunu doğruladı.
Verinin Güvenliği ve Nupay’ın İddiaları
Yapılan blog yazısında, UpGuard araştırmacıları inceledikleri 55.000 belgeden daha fazla yarısının Aye Finance adını taşıdığını belirtti. Aye Finance, geçen yıl 171 milyon dolarlık bir IPO‘ya başvurmuştu. Araştırmacılara göre, daha sonraki sıralarda Hindistan Devlet Bankası yer aldı.
Veri sızıntısını fark ettikten sonra, UpGuard araştırmacıları Aye Finance’i kurumsal, müşteri hizmetleri ve şikayet adresleri üzerinden bilgilendirdi. Ayrıca, Hindistan’nın National Payments Corporation of India (NPCI) kurumuna da durumu bildirdiler. Ancak, Eylül ayının başlarına gelindiğinde, verilerin hala maruz kaldığı ve her gün binlerce dosyanın açık sunucuya eklendiği rapor edildi.
UpGuard, Hindistan’ın bilgisayar acil durum ekibine, yani CERT-In‘e de durumu bildirdi. Sızıntı, çok geçmeden güvence altına alındı. Yine de, güvenlik açığından kimin sorumlu olduğu belirsizliğini korudu. Aye Finance ve NPCI yetkilileri, sızıntının kaynağı olmadıklarını belirtirken, Hindistan Devlet Bankası’nın sözcüsü ise duruma dair yorumda bulunmadı.
Nupay, veri sızıntısının kaynağı olduğunu kabul etti. Nupay’ın kurucu ortağı ve COO’su Neeraj Singh, TechCrunch’a verdiği bir röportajda, Amazon S3 deposunda “temel müşteri bilgileri ile sınırlı bir test kaydı setinin” bulunduğunu iddia etti. Singh, “çalışmaların büyük çoğunluğunun dummy veya test dosyası” olduğunu ifade etti. Ayrıca, şirketin Amazon’daki loglarının “yetkisiz erişim, veri sızıntısı, kötüye kullanım veya finansal etkisi olmadığını” doğruladığını belirtti.
UpGuard, Nupay’ın bu iddialarını reddederek TechCrunch’a, incelenen dosyaların yalnızca birkaç yüzünün test verilerini içerdiğini vurguladı. Ayrıca, Nupay’ın bulut loglarının nasıl olup da herhangi bir erişimi reddettiği konusunda belirsizlik bulunduğunu ifade etti. UpGuard, Amazon’un açık sunucusunun Grayhatwarfare gibi kamuya açık bir veritabanı tarafından dizinlenmiş olduğunu belirtti.
Nupay’ın Singh, TechCrunch tarafından sorulduğunda, Amazon S3 deposunun internete ne kadar süreyle açık kaldığını hemen açıklamadı.
Veri Güvenliğine İlişkin Dikkat Edilmesi Gerekenler
Bu tür bir veri sızıntısı, siber güvenlik alanında dikkate alınması gereken birçok yönü gündeme getiriyor. Öncelikle, bulut hizmetlerinin tüm güvenlik önlemleriyle donatılmış olması gerektiği ortaya çıkıyor. Yapılandırma hataları, maliyetlere veya müşteri güvenine büyük zarar verebilir. İkinci olarak, şirketlerin veri koruma politikalarını düzenli olarak gözden geçirmesi ve güncellemeleri önemlidir. Çalışanların da veri güvenliği konularında eğitilmesi, insan hatalarının önüne geçebilir.
Aynı zamanda, teknolojik altyapının güvenliği için düzenli olarak yapılacak denetim ve testler, olası sızıntıları önlemeye yardımcı olabilir. Bu tür olayların yaşanmaması için siber güvenlik alanında sürekli bir farkındalık oluşturmak gereklidir. Her ne kadar sızıntı durumu kontrol altına alınsa da, sonuçların uzun vadeli etkileri göz ardı edilmemelidir.
