EN
EN

2019 YILINDA YAŞANAN BÜYÜK VERİ İHLALLERİ


Kurum ve kuruluşların KVKK Kapsamında kişisel verileri koruması gerekmektedir. Bunun için tüm verilerin korunması dolayısıyla tüm BT sisteminin sağlamlaştırılması ve korunması gerekmektedir. Kişisel veri, elde edildiği takdirde belirli veya belirlenebilir bir kişiyle ilgili tüm bilgilerdir. Kişisel verilerin işlenmesi, kişisel verilerin elde edilmesi, saklanması, üzerinde herhangi bir değişiklik yapılması, sınıflandırılması, başkalarına aktarılması ve başkaları tarafından erişilebilir hâle getirilmesi, ya da kullanılması ve ait olduğu kişi tarafından kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarih ve 29677 sayılı karar ile yürürlüğe girmiştir. Bu kanun ile kişisel verilerin işlenmesi, sınırları belirlenmiş ölçüde ve uluslararası standartlara tabi olacak şekilde düzenlenmiştir. Kişisel verilerin korunması ise Anayasa Mahkemesi’nin “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” kararında belirtildiği gibi kişilerin en temel hakkı olduğu belirtilerek ele alınmıştır. KVKK, kişisel verilerin korunmasında aşağıda yer alan temel ilkeleri benimsemiştir.

a) Hukuka ve dürüstlük kurallarına uygun olmak.

b) Doğru ve güncel olmak.

c) Belirli, açık ve meşru amaçlar için işlenmek.

ç) Toplandıkları ve işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmak.

d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.

2018-2019 yıllarına ait 5 büyük veri ihlaline ait bilgiler ve 2019 yılında yaşanan genel veri ihlalleri aşağıdaki gibidir.

2018 YILININ EN BÜYÜK VERİ İHLALERİ

2018 yılı dünyanın, kişisel verilerin gerçekte ne kadar erişilebilir olduğunu fark ettiği yıl olarak nitelendirilmektedir ve kişisel verileri koruma konusunda şirketler için zor bir yıldı. Facebook, Aadhar ve Google gibi önemli kurum ve yapılar dâhi veri ihlali yaşadı. Yaşanan bu olaylar kişisel verilerimizin ne kadar erişilebilir olduğunu ve BT ekiplerinin dâhi düzgün hizmet veremediğini göstermektedir. 2018 yılında yaşanan üç büyük veri sızıntısına ait bilgiler aşağıda verilmiştir.

Aadhar Veri Sızıntısı:

Aadhar, Hindistanın Benzersiz Kimlik Kurumu (UIDAI) tarafından yönetilen Hisdistan hükümeti kimlik veri tabanıdır. Aaadhar numarasına sahip olan kullanıcılara tanınan bazı ayrıcalıklar nedeniyle Hindistan nüfusunun 1,1 milyar kadar yüksek bir bölümü kişisel verilerini UIDAI’ye verdi. 2018 yılında Aadhar veritabanında yaşanan ihlal sonucu kişilere ait doğum tarihinden iris tarama bilgilerine kadar önemli kişisel veriler sızdırıldı. Bu ihlal 2017 yılın en büyük siber güvenlik sorunu olarak değerlendirildi.

Facebook Güvenlik İhlalleri:

25 Eylül’de Facebook, potansiyel olarak hizmetten çıkmış 90 milyon kullanıcısını etkileyebilecek bir güvenlik sorunu keşfetti. Daha sonra, kesin miktar bilinmese de, rakam bundan sonra 50 milyona ve 30 milyona düşürüldü. FBI soruşturmaya katıldı ve bu yüksek koordineli saldırının arkasında kimin olduğu hakkında kısıtlı bir bilgi var. Facebook 15 Eylül tarihinde “Farklı Görüntüle” özelliğinde sıra dışı bir aktivite fark etti. Saldırıda 3 farklı sıfırıncı gün zafiyetinden yararlanıldığı öngörülmüştür. Siber saldırganlar, etkilenen kullanıcıların hesaplarını kontrol altına alabilmek için kullanılacak erişim belirteçlerini çalabildi. Kullanıcılara ait yaş ve cinsiyetten etiketlendiği fotoğraflara kadar geniş bir yelpazedeki kişisel veriler ele geçirildi. Ayrıca bu yılın başlarında Facebook kullanıcılara ait parolaları düz metin olarak sakladığını itiraf etti. Üst üste yaşanan iki güvenlik sorunu muhtemelen Facebook’a olan güveni büyük oranda zedeledi.

Marriott Büyük Veri İhlali:

Ünlü otel Marriott 30 Eylül’de büyük çapta bir veri ihlali yaşadığını açıkladı. Fakat müşterilerini etkilenebilecekleri konusunda bilgilendirmeleri 3 ay gibi bir süreyi aldı. Sızdırılan bilgiler müşterilerin isimlerini, telefon numaralarını, ödeme bilgilerini, posta adreslerini, e-posta adreslerini ve pasaport numaralarını içeriyordu. Soruşturma sonrası bulunan kanıtlar saldırganların sistemlerine 2014 yılı başlarında eriştiğini gösteriyordu. Araştırmacılar bulunan dosyaların şifresini çözdükten sonra, müşterilerin kişisel bilgileri olduklarını kanıtladılar ve tam açıklama yaklaşık üç ay sonra gerçekleşti. Bu, Marriott'un itibarında önemli bir hasara yol açtı.

2019 YILININ EN BÜYÜK VERİ İHLALERİ

2019 yılının ilk altı ayına ait en büyük veri ihlali yaşanan olaylar aşağıda verildiği gibidir.

Phishy Wipro Veri İhlali: Hintli BT’nin dış kaynak kullanımı ve danışmanlık devi Wipro Ltd. şirketi 17 Temmuz tarihinde kimlik avı saldırısına uğradığını söyledi. BT sistemlerinin saldırıya uğradığını doğruladı ve durumu ele almak için adli bir firmaya başvurduğunu belirtti. 2 Mayıs'ta yayınlanan daha yeni bir makaleye göre, saldırganların Wipro içindeki çalışan makinelerin güvenliğini tehlikeye atmak için uzaktan erişim aracı ScreenConnect kullandığı tespit edildi. Ayrıca, saldırganların 2017 ve hatta 2015 yıllarındaki eski kötü niyetli faaliyetlerle bağlantılı olabileceği ve önceki saldırılar altyapısının çoğunu şimdiki saldırıları için yeniden kullandığı da tespit edildi. Birçok müşteri bu saldırıdan etkilendi doğal olarak şirkete olan güven azaldı.

Dunkin Donuts Veri İhlali:

Dunkin Donuts ilk olarak geçen yılın kasım ayının sonuna doğru stuffing saldırısına uğradığını söyledi. Ocak ayında yaşadığı saldırı sonrasında kullanıcılarını daha fazla hesap ihlali konusunda uyardı. Bu saldırıda bilgisayar korsanları DD Perks ödül hesaplarına girmek için diğer sitelere sızdırılmış kullanıcı kimlik bilgilerini kullandı.  Bir DD Perks ödül hesabı, kullanıcının adını ve soyadını, e-posta adresini (kullanıcı adı) ve 16 basamaklı DD Perks hesap numarasını ve QR kodu bilgi türlerini içerir. Yaşanan ihlalde kullanıcıya ait bu bilgilerin saldırganların eline geçmesi şirketin itibar ve güven kaybına neden olur.

Toyota’nın İkinci Defa Yaşanan Veri İhlali:

Toyota’nın ikinci defa yaşadığı veri ihlali milyonlarca kullanıcısını etkiledi. Toyota, resmi internet sitesinde 29 Mart 2019 tarihinde yaptığı açıklamada, ihlalin potansiyel olarak 3,1 milyon kişiyi etkilediğini belirtti. Şirket, bilgisayar korsanlarının bu durumda özel müşteri veya çalışan verilerine eriştiğine inanmadığını söyledi. Ayrıca, Toyota'nın BT ekibinin, konunun en altına inilmesi konusunda tavsiyeler almak için uluslararası siber güvenlik uzmanlarıyla iletişim kurduğunu doğruladı.

Walmart Email Veri İhlali:

FBI, Walmart'ın teknoloji tedarikçilerinden birinden çalışanların perakendecinin e-posta iletişimini yasa dışı olarak izlediğini iddia etti. New York Times, 2015'in sonlarında 2016'nın başlarında, Walmart'ın yardım masasına atanan Compucom çalışanlarının, perakendecideki belirli e-posta hesaplarını izlemek için erişimini kullandığını ve iddiaya göre bu bilgileri rakiplerin önüne geçmek için kullandığını bildirdi. FBI raporuna göre, bir Compucom teknisyeni bir Walmart disipliniyle ilgili bir e-postanın fotoğrafını çektikten sonra bir anlık mesajlaşma sisteminde sohbet ettiği bir Walmart çalışanına gönderilmesiyle plan keşfedildi.

Citrix Veri İhlali:  

6 Mart 2019'da FBI, Stan Black, CISSP ve Citrix'in CSIO’su uluslararası siber suçluların iç Citrix ağına erişim kazandığını iddia etti. FBI hala ayrıntıları araştırırken, thehackernews.com, İran destekli Iridium hacker grubunun geçen yıl Aralık ayında Citrix'e saldırdığı ve bu saldırıda e-postalar, planlar ve diğer belgeler dâhil olmak üzere en az 6 terabaytlık hassas iç dosya çaldığını bildirdi. İran bağlantılı hack grubu, dünya çapında 200'den fazla devlet kurumuna, petrol ve gaz şirketlerine, teknoloji şirketlerine ve diğer hedeflere yönelik son siber saldırıların da arkasındaydı.

2019 Yılı Veri İhlalleri

2019 yılındaki veri ihlalleri sonucunda toplam 39,7 milyon kayıt sızdırıldı. Veri ihlalleri ve sızan veri sayısına ait liste aşağıda verildiği gibidir.

- Broome Co., NY, hükümet sistemleri yetkisiz kişilerce erişildi. (bilinmiyor)
- Chicago Üniversitesi'ndeki veritabanı yanlış yapılandırma sonucu kişisel verilerin ihlaline sebep oldu. (1,679,993)
- Yahudi escort uygulaması JCrush, kullanıcının kişisel verilerini ve özel mesaj kayıtlarını güvensiz veritabanında tutularak kişisel verilerin ihlaline sebep oldu  (200.000)
- Baltimore Co. Okulları, öğrenciler ve çalışanlar hakkında hassas verileri ortaya koymaktadır (+116.000)
- Shanghai Jiao Tong Üniversitesi, öğrencilerin e-posta meta verilerini sızdırıyor (bilinmiyor)
- Evernote eklentisindeki kritik açıklık kullanıcının hassas verilerini tehlikeye atmaktadır. (4.6 milyon)
- Kanadalı şehir gizlilik, ihlali sakinlerine bildirir (2,345)
- Graceland Üniversitesi veri ihlalini açıkladı (bilinmiyor)
- Oregon Eyalet Üniversitesi de veri ihlalini açıkladı (636)
- Dublin Limanı Şirketi bir veri sızıntısı kaynağını araştırıyor (bilinmeyen)
- Temple Üniversitesinde ki bir çalışan, öğrenci bilgilerini yanlışlıkla İnternet’e yükledi (160)
- Şikago merkezli sağlık merkezi şu anda kapalı olan tesiste hasta verilerini bıraktı. (bilinmiyor)
- Hindistan iş portalına ait yanlış yapılandırılmış veritabanı, büyük veri ihlallerine (1.6 milyon) neden oluyor
- Reklam ajansı, hastaların tıbbi yaralanma iddia kayıtlarına maruz kaldı (150.000)
- Maryland merkezli iki tıbbi uygulama, kazayla veri ifşa edildikten sonra hastaları haberdar ediyor (3,380)
- HIV hastalarının verileri NHS Highland e-posta gaffe'de ihlal edildi (37)
- Specsavers, Queensland müşterilerinin özel tıbbi bilgilerinin kaybolduğunu söyledi (bilinmiyor)
- Theta360, kullanıcı tarafından yüklenen fotoğrafları koruyamadı. (11 milyon)
- Creighton Üniversitesi'ndeki BT hatası hasta tıbbi kayıtlarını ulaşılmasına imkân veriyor. (bilinmeyen)
- Indiana merkezli sağlık kuruluşu, bir çalışanın hasta verilerine yetkisiz erişim sağladığını söyledi. (2.200)
- Tayvan kamu hizmeti sistemi veri ihlalini yaşadığını bildirdi. (240.000)
- Woodbury’deki Merrill Sanat Merkezi veri ihlali yaşadı.