Eski bir IBM siber güvenlik yöneticisi, şirketin son on yıl içerisinde yabancı hükümetler tarafından üç kez hacklendiğini ve bu ihlalleri kapattığını iddia etti.
Bu hafta açığa çıkan ve 2020’de mahkemeye sunulan bir davada, IBM’in tehdit istihbaratından sorumlu başkan yardımcısı olan William Barlow, şirketin 2013 ile 2016 yılları arasında Çinli hackerların ana ağını ihlal ettiğini kabul ettiğini, ancak bu ihlalleri gizlediğini ve asla duyurmadığını belirtti. Barlow, en az iki IBM yan kuruluşunun da saldırıya uğradığını ve bu ihlallerin de gizlendiğini ifade etti.
Barlow, mahkemeye sunduğu belgede, IBM’in ana ağının “yabancı devlet aktörleri ve diğerleri tarafından düzenli olarak hacklendiğini” kaydetti ve bilgilerin sıkça çalındığını, hükümet ajanslarının bu konuda “asla bilgilendirilmediğini” öne sürdü.
İddia edilen ihlaller on yıl öncesine dayansa da bu durum, siber saldırıların büyük kamu teknolojisi şirketlerini bile etkileyebileceğini ve çoğu zaman halk ya da ilgili hükümet otoriteleriyle paylaşılmadığını göstermektedir. IBM, ABD federal hükümetine büyük bir siber güvenlik sağlayıcısıdır, bu da iddia edilen gizlenmenin önemini artırıyor. Son birkaç yılda, bu tür durumları önlemek amacıyla çeşitli veri ihlali bildirim yasaları kabul edilmiştir.
Bloomberg, durumu ilk olarak bildiren kuruluş oldu.
IBM sözcüsü Miki Carver, davayla ilgili ve altta yatan iddialarla ilgili belirli soruları yanıtlamaktan kaçındı. Bunun yerine Carver, TechCrunch’a “Bu şikayet altı yıl önce yapıldı ve ABD Adalet Bakanlığı müdahale etmeyi reddetti. IBM, eylemlerinin hukukun gerekliliklerine uygun olduğuna inanmaktadır” dedi.
Barlow, IBM’in, o dönemin FBI Direktörü Christopher Wray’in “global ekonominin bir Who’s Who’su” olarak tanımladığı APT 10 isimli, Çin hükümetiyle bağlantılı bir grup tarafından gerçekleştirilen bir hack kampanyasının kurbanları arasında yer aldığını söyledi. Hackerlar, şirketin ağlarına ve AT&T ile işbirliği içerisinde düzenlediği verilere girdi.
Barlow, Mart 2017’de Avustralya, Kanada, Yeni Zelanda, ABD ve Birleşik Krallık’ın -beş göz ittifakı- istihbarat yetkililerinin IBM’i ihlal konusunda uyardığını ve bunun üzerine iç bir soruşturma başlatıldığını belirtti.
Mahkemeye sunulan belgeye göre, soruşturma, APT 10’un 2013 ile 2016 yılları arasında IBM’in ağını 56,000’den fazla kez ihlal ettiğini ortaya koydu. Kritik bir nokta olarak, şirketin kimlerin ağa eriştiğini ve ne zaman eriştiğine dair kayıt tutmadığı için daha fazla araştırma yapamadığını ifade etti; bu, temel bir güvenlik uygulamasıdır.
Daha sonra IBM, herhangi bir otoriteye veya ana müşterisi olan ABD hükümetine haber verme yükümlülüğünü yerine getirmedi.
“IBM ve AT&T’nin Ana Ağları’nın altyapısı eski olduğu için, hackerlar pek çok kez sisteme erişim sağlayabilmiş ve neredeyse her yerde tespit edilmeden dolaşabilmişlerdir,” ifadesi mahkemeye sunulan belgeden alındı. IBM’in iç soruşturması, APT 10 hack kampanyasında dört sunucunun tehlikeye girdiğini tespit etti.
“Saldırganlar, 400’e yakın hesap ve 200’den fazla sistem ve sunucuya erişti veya bunları tehlikeye soktu. Bu durum, IBM’in her iş biriminde, on sekiz ülkede ve çok sayıda IBM ürününde gerçekleşti,” iç soruşturma hakkında yapılan bir raporda ifade edildi.
Barlow’u temsil eden avukat Jason Brown, TechCrunch’a yaptığı açıklamada, davanın agresif bir şekilde takip edileceğini söyledi.
“Kendinle ilgili bu tür güvenlik problemleri varken, federal hükümete siber güvenlik satamazsınız,” dedi Brown.
Barlow’un bildiği diğer ihlaller, IBM’in 2013’te satın aldığı bir siber güvenlik startup’ı olan Trusteer’in 2018’de saldırıya uğradığını ve 2016’da IBM tarafından satın alınan Truven isimli sağlık verileri startup’ının satın alımdan sonra birçok kez ihlal edildiğini içeriyor. Her iki durumda da Barlow, IBM’i bu ihlalleri uygun bir şekilde araştırmak ve duyurmakta başarısız olmakla suçluyor.
Makalelerimizdeki bağlantılar üzerinden herhangi bir alışveriş yapmanız durumunda, küçük bir komisyon kazanabiliriz. Bu durum, editoryal bağımsızlığımızı etkilemez.
