UK Vize Portal isimli bir web sitesi, teknik bir hata sonucu binlerce pasaport ve selfie fotoğrafını ifşa etti. Kullanıcılar, Birleşik Krallık göçmen vizesi almak için bu siteye ödeme yapmışlardı.

Anonim bir kişi, TechCrunch’a yaptığı bildirimde, web sitesinin başvuru sürecinde kullanıcıların pasaport ve selfie fotoğraflarını yükledikleri en az 100.000 belgenin ifşa edildiğini belirtti.

Bu web sitesi, Birleşik Krallık hükümetiyle ilişkilendirilmemektedir. Bazı kullanıcılar, yanlışlıkla bu şirkete ücret ödediğini belirtmiş ve resmi GOV.UK web sitesini kullanmadıklarından şikayet etmiştir.

İfşalanan veriler, olayla ilgili ilk haberimizi yayınlamamızın birkaç saat sonrasında, Çarşamba sabahı güvence altına alınmıştı. TechCrunch, ifşalanan verilerin hassasiyeti nedeniyle mevcut bir güvenlik sorunu olduğunu vurguladı fakat kişisel bilgilerin gizliliğini korumak amacıyla detayları sakladı.

UK Vize Portal yönetiminden hâlâ bir yanıt alınamadı. Şirket, sorunu düzeltmek yerine avukatlarını ve halkla ilişkiler firmalarını bizimle irtibata geçirdi.

Son haftalarda birçok şirket, genellikle bir dış siber saldırıdan ziyade yanlış yapılandırmalar sonucu müşterilerinin hassas hükümet belgelerini ifşa etti. Pasaportların ifşası, dünya genelinde çevrimiçi kimlik kontrollerinin artmasıyla özellikle sorunlu hale gelmiştir.

Şirketin yanıt vermemesi, etkilenen müşterilere pasaportlarının kamuya açık bir şekilde ifşa edildiği hakkında bilgi verilip verilmeyeceğine dair soruları gündeme getiriyor. Ayrıca, ABD eyaletleri ve Avrupa veri ihlali bildirim yasaları gereği, düzenleyicilere bildirimde bulunup bulunmayacakları da belirsizliğini koruyor.

İfşalanan Pasaportlar, Selfie ve Konum Verileri

Veri sızıntısı, UK Vize Portal’ın kullanıcıların yüklediği pasaportlar ve selfie fotoğraflarını barındırmak için kullandığı, halka açık bir Amazon depolama sunucusundan kaynaklandı.

Depolama sunucusu, içeriklerini halka açmamış olsa da, içerisindeki dosyalar doğru web adresini bilen herkes tarafından erişilebilir ve görüntülenebilir durumdaydı. UK Vize Portal web sitesindeki bir hata, bu sunucudaki dosyaların listesini görüntülemelerine olanak sağladı.

TechCrunch, UK Vize Portal’ın (aynı zamanda UK Visit ve ETA-Pass olarak da bilinir) veri sızıntısının kaynağı olduğunu doğruladı ve etkilenen bireylerle iletişime geçerek ifşalanan verilerin doğruluğunu kontrol etti.

Kullanıcı tarafından yüklenen birçok fotoğraf, görüntülerin nerede çekildiğine dair gerçek konum verilerini de içeriyordu. Bu konum verileri bazı durumlarda, görüntüyü çeken kişinin ev adresini ifşa edecek kadar doğruydu.

UK Vize Portal, web sitesi üzerinden güvenlik sorunlarını bildirme imkanı sunmamakta ve yönetim için herhangi bir isim veya iletişim bilgisi vermemektedir. TechCrunch, UK Vize Portal’ın web sitesi üzerinde yer alan e-posta adresine, sürekli bir güvenlik sorunu olduğunu ve konuyu çözmek için kiminle iletişime geçebileceğimizi bildiren bir e-posta gönderdi. TechCrunch, ifşalanan verilerin kötüye kullanılmayacağını garanti edemeyeceğimizden, bilgiyi şirketin genel müşteri destek e-posta kutusuyla paylaşamayacağımızı açıkladı.

Müşteri destek personeli, TechCrunch’a UK Vize Portal’ın yöneticisi olduğu söylenen Michael Taylor’ın adını ve e-posta adresini verdi. Ancak bu kişi, yanıt vermedi.

Kısa bir süre sonra, ABD’li hukuk firması BakerHostetler ve halkla ilişkiler firması FTI Consulting’den temsilciler, TechCrunch ile iletişime geçerek UK Vize Portal’daki sorun hakkında bilgi istedi. TechCrunch’a avukatlar, kendilerinin şirket adına konuşmak için yetkili olduklarını gösteren herhangi bir kanıt sunmadı. Yeniden belirttik ki, güvenlik açığı hakkında bilgileri yalnızca şirket yönetimiyle paylaşabiliyoruz.

Taylor veya başka bir yönetici, güvenlik açığıyla ilgili bilgileri almak isterse bizimle iletişime geçebilir ya da avukatlar bu e-posta dizisine kopyalayabilir. Ancak geri dönüş olmadı.

Haberimiz yayınlandıktan ve depolama alanı güvenceye alındıktan sonra, TechCrunch avukatlara güvenlik açığıyla ilgili bir dizi soru yöneltti. Sorduğumuz sorular arasında Amazon depolama alanının ne kadar süreyle ifşa edildiği, neden ifşa olduğu ve herhangi birinin bu verilere erişip erişmediğini belirlemek için loglarının olup olmadığı vardı. Ayrıca, UK Vize Portal’da siber güvenlikten kimin sorumlu olduğu sorusunu da ilettik. Christian, bu sorulara yanıt vermedi.

UK Vize Portal’ın, Birleşik Arap Emirlikleri merkezli olduğu iddia edilen Active Leadgen LLC adlı bir şirket tarafından işletildiği öne sürülmekte. TechCrunch, bunun bağımsız olarak doğrulayamadı.

Birleşik Krallık elektronik seyahat yetkililiği için başvurmak üzere üçüncü şahıs bir hizmetin kullanılması gerekmez. Geçerli bir göçmenlik avukatı tutmadığınız sürece, başvuruların Birleşik Krallık hükümetinin web sitesi üzerinden yapılması gerekmektedir.

Bu haber ilk olarak 26 Mayıs’ta yayınlandı ve güvenlik açığı ile ilgili ek bilgilerle güncellendi.

Makale içerisindeki bağlantılara tıklayarak yapacağınız alışverişlerden küçük bir komisyon kazanabiliriz. Bu, editoryal bağımsızlığımızı etkilemez.

UK Visa Portal adlı bir web sitesi, Birleşik Krallık göçmen vizesi almak için başvuranların pasaport ve selfie fotoğraflarını ifşa ediyor.

TechCrunch’a yapılan bir anonim ihbarda, söz konusu web sitesinin başvuru süreci kapsamında en az 100.000 belgenin ifşa edildiği belirtildi. Kullanıcılar, pasaport ve selfie fotoğraflarını siteye yüklemişti.

Web sitesi, Birleşik Krallık hükümetiyle herhangi bir bağlantıya sahip değildir ve bazı kullanıcılar, resmi GOV.UK web sitesini kullanmak yerine bu şirkete yanlışlıkla bir ücret ödediğinden şikayet etmiştir.

TechCrunch, UK Visa Portal’ın veri sızıntısının kaynağı olduğunu doğruladı ve etkilenen bireylerle iletişime geçerek ifşa edilen verilerin doğruluğunu kontrol etti.

UK Visa Portal, web sitesi aracılığıyla güvenlik sorunlarını bildirme imkânı sunmamaktadır ve şirketin yönetiminin adları veya iletişim bilgileri yoktur. TechCrunch, site üzerinden şirketi güvenlik açığı konusunda uyararak, durumu çözmek için kimlerle iletişim kurabileceğini sordu.

Bunun yerine, TechCrunch, şirketin iddia edilen avukatları ve halkla ilişkiler firmasıyla geri dönüş aldı. Tekrar vurgulandı ki, ifşa edilen dosyaların doğası gereği, yalnızca şirketin yönetimiyle doğrudan detay paylaşılabileceği belirtildi.

TechCrunch, UK Visa Portal yönetiminden henüz bir yanıt alamadı. Güvenlik açığı hala çözülmedi.

Güvenlik sorunu devam ederken, TechCrunch, bu hizmetleri kullanan kişilerin durumu bilmelerinin kamu yararına olduğunu düşünüyor. TechCrunch, belirli detayları paylaşmaktan kaçınarak potansiyel olarak daha fazla risk oluşturmamaya özen gösteriyor.

Birleşik Krallık elektronik seyahat izni başvurusu için bir üçüncü taraf hizmeti kullanmanız gerekmez, yalnızca bir göçmen avukatı tutma durumunda böyle bir yol tercih edilebilir. Başvuruların, resmi olarak Birleşik Krallık hükümetinin web sitesi üzerinden yapılması önerilmektedir.

Eğitim teknolojileri devi Instructure, Canvas giriş portallarında bir güvenlik açığı nedeniyle hackerların değişiklikler yaparak fidye mesajı bırakmasına olanak tanıdığını doğruladı. Bu olay, özellikle eğitim kurumlarının bilgi güvenliği açısından büyük bir tehdit oluşturuyor.

Saldırı Nasıl Çalışıyor?

Instructure’ün duyurusuna göre saldırılar, birden fazla CVE kodu ile ilişkili olan cross-site scripting (XSS) açıklarını kullanarak gerçekleştirildi. Bu açıklar, saldırganın yetkilendirilmiş admin oturumlarına erişebilmesine olanak tanıdı. Hacker grubu ShinyHunters, 29 Nisan’da yapılan ilk saldırının ardından, aynı açığı tekrar kullanarak Instructure’u fidye ödemeye zorlamak amacıyla 7 Mayıs’ta bir siber saldırı daha düzenledi.

• İlk saldırıda 3.6 terabayt uncompressed veri çalındı.
• İkinci saldırı, ilk ihlalin ardından kullanıcıları baskı altına almak için gerçekleştirildi.
• Saldırgan, kullanıcı oluşturulan içerik özelliklerindeki XSS hatalarını kullanarak kötü amaçlı JavaScript ekledi.

Etkilenen Sistemler

Instructure, söz konusu güvenlik açığının Free-for-Teacher ortamını etkilediğini belirtmiştir. Bu, bireysel eğitmenler için sunulan ücretsiz ve sınırlı Canvas LMS versiyonudur. Saldırganlar, Canvas giriş portallarında bir mesaj bırakmış ve eğitim kurumlarına 12 Mayıs’a kadar iletişime geçmeleri gerektiği uyarısını yapmışlardır.

Çözüm ve Korunma

Instructure, canvas sistemini geçici olarak kapatarak kötü niyetli etkinliklerin yayılmasını önlemek için ek önlemler almıştır. Canvas, 9 Mayıs’ta tekrar erişime açılmıştır. Ancak şu anda Free-for-Teacher hesapları kapalı tutulmaktadır.

• Güvenlik açığının tespit edilmesinin ardından Instructure, kötü niyetli tarafların erişimini hemen iptal etti.
• Veri güvenliği ve entegrasyon süreçlerinin geliştirilmesine yönelik çalışmalar yapılmaktadır.

Sonuç

Eğer eğitim sektörü içinde yer alan bir kurum veya bireyseniz, hemen gerekli güncellemeleri yapmalı ve sistem güvenlik önlemlerini gözden geçirmelisiniz. Gerekirse, portların kapatılması gibi tedbirler alınmalıdır. Unutmayın, siber güvenlik sürekli bir dikkat gerektirir.

Hollanda Maliye Bakanlığı, iki hafta önce tespit edilen bir siber saldırı nedeniyle bazı sistemlerini çevrimdışı hale getirdi. Bu durum, siber güvenlik alanında önemli gelişmelere ve kamu güvenliği endişelerine yol açtı.

Saldırı Nasıl Çalışıyor?

Hollanda Maliye Bakanlığı, 19 Mart’ta gerçekleşen güvenlik ihlalinin ardından bazı sistemlerini kapatma kararı aldı. Saldırının detayları henüz netleşmiş olmasa da, bakanlık yapılan açıklamada şu bilgilere yer verdi:

• CVE kodları: Henüz siber saldırıyla ilişkili spesifik bir CVE kodu açıklanmadı.
• Versiyon numaraları: Etkilenen sistemlerin versiyonları ile ilgili spesifik bilgilere ulaşmış değiliz.
• Bakanlık açıklandı: Saldırı, çalışan sayısını ve etkilenen verilerin hassasiyetini belirtmedi.

Etkilenen Sistemler

Saldırı, maliye bakanlığının dijital hazine bankacılığı portalını etkileyerek, yaklaşık 1,600 kamu kurumunun mali hesaplarını çevrimiçi olarak görüntülemesini engelledi. Ayrıca, sistemin kapatılması şu işlemleri de etkiledi:

• Katılımcılar, krediler ve mevduatlar için uygulama yapamadı.
• Günlük limitleri değiştirmeleri ve rapor üretmeleri mümkün olmadı.

Bununla birlikte, maliye bakanlığına bağlı hesaplarda varlıklar güvenli bir şekilde tutuldu ve ödemeler normal bankacılık kanalları aracılığıyla devam etti.

Çözüm ve Korunma

Hollanda Ulusal Siber Güvenlik Merkezi (NCSC) ve dış araştırmacılar, olayı incelemekte. Bakanlık, olaya ilişkin Hollanda Kişisel Verileri Koruma Kurulu’na (AP) bildirimde bulundu ve Hollanda ulusal polisine bağlı Yüksek Teknoloji Suçları Ekibi ile rapor sundu.

Sonuç

Hollanda Maliye Bakanlığı, sistemlerin güvenliğini sağlamak adına yaptığı bu kapatmanın sürekliliği konusunda net bir zaman çizelgesi sunamadı. Okuyuculara önerim, ilgili sistemlerin güncellemelerini yapmaları ve gerekli önlemleri alarak siber güvenlik önlemlerini güçlendirmeleridir. Ayrıca kritik bilgileri güvenli tutmak için önlem almak büyük önem taşımaktadır.