2021 Yılında Yaşanan Veri Sızıntıları

2021, veri sızıntıları için rekor kıran ve sızma testinin önemi vurgusunu en güçlü yapan yıl olarak anılabilir. Kimlik Hırsızlığı Kaynak Merkezi (ITRC) araştırmasına göre, 30 Eylül 2021’e kadar toplam veri ihlali sayısı, 2020’deki toplam olay sayısını %17 aşmış durumda. 2021’de 1.291 sızıntı yaşanırken, 2020’deki 1.108 sızıntı olmuştu.

            DÜnya çapında özellikle imalat ve kamu hizmetleri sektörü, toplam 48.294.629 kurbanla derinden etkilendi. Bunu 7 milyondan fazla kurbanla sağlık sektörü izledi. 1 milyondan fazla mağduru olan diğer sektörler arasında mali hizmetler (1,6 milyon mağdur), hükümet (1,4 milyon mağdur) ve profesyonel hizmetler (1,5 milyon mağdur) yer aldı.

            Daha da endişe verici olanı, hem kuruluş hem de hükümet düzeyinde ihlal bildirimlerinde şeffaflık eksikliğinde artış olması. ITRC, trendin devam etmesi halinde bunun bireyler üzerinde önemli bir etkiye yol açabileceğini söylüyor

Facebook Sızıntıları

Güvenlik araştırmacısı Alon Gal, Facebook’a ait 533 milyon hesap içeren sızdırılmış bir veritabanı keşfetti.

            Veriler, ABD’deki kullanıcılarla ilgili 32 milyondan fazla, İngiltere’deki kullanıcılarla ilgili 11 milyon ve Hindistan’daki kullanıcılarla ilgili 6 milyondan fazla kayıt dahil olmak üzere 106 ülkeden Facebook kullanıcılarının kişisel bilgilerini içeriyor.

            Insider, sızdırılan verilerin bir örneğini inceledi ve bilinen Facebook kullanıcılarının telefon numaralarını veri setinde listelenen kimliklerle eşleştirerek birkaç kaydı doğruladı. Insider ayrıca, Facebook’un bir kullanıcının telefon numarasını kısmen ortaya çıkarmak için kullanılabilen parola sıfırlama özelliğindeki veri kümesindeki e-posta adreslerini test ederek kayıtları doğruladı.

            Gal’e göre, “Birçok Facebook kullanıcısının telefon numaraları gibi özel bilgileri içeren bu boyutta bir veri tabanı, kesinlikle kötü aktörlerin sosyal mühendislik saldırıları [veya] bilgisayar korsanlığı girişimleri gerçekleştirmek için verilerden yararlanmasına yol açacaktır.”

Android Sızıntıları

            Mayıs ayında, güvenlik araştırmacıları, bulut hizmetlerinin çeşitli yanlış yapılandırmaları nedeniyle açığa çıkan 100 milyondan fazla Android kullanıcısının kişisel verilerini keşfetti. 23 uygulama tarafından kullanılan gerçek zamanlı veritabanlarında korumasız, indirmeler 10.000 ila 10 milyon arasında değişiyordu ve dahili geliştirici kaynaklarını içeriyordu.

            Check Point araştırmacıları, herkesin isimleri, e-posta adresleri, doğum tarihleri, sohbet mesajları, konum, cinsiyet, şifreler, fotoğraflar, ödeme bilgileri, telefon numaraları ve anında iletme bildirimleri gibi hassas ve kişisel bilgilere erişebileceğini keşfetti.

            Ayrıca Check Point araştırmacılarının analiz ettiği 23 uygulamadan bir düzinesinin Google Play’de 10 milyondan fazla kurulumu vardı. Çoğu, hassas kullanıcı bilgilerini açığa çıkaran gerçek zamanlı veri tabanına korumasız sahipti. Yanlış yapılandırılmış veritabanları sürpriz olmasa da, bulgular birçok uygulamada temel güvenlik uygulamalarının olmadığını gösteriyor. Yanlış yapılandırmalar ayrıca kullanıcıların kişisel verilerini riske atıyor.

LinkedIn Sızıntıları

            Şirket üyelerinin yaklaşık %93’ü olan 700 milyon LinkedIn kullanıcısının kişisel verileri online olarak satışa sunuldu. Veriler, 2020 ve 2021’den örneklerle yeni gibi görünüyordu. Veriler, oturum açma kimlik bilgilerini veya finansal bilgileri içermese de, birinin kimliğini varsaymak için kullanılabilecek kişisel bilgileri içeriyordu. Bu bilgiler arasında şunlar da vardı:

  • İsimler
  • Telefon numaraları
  • Fiziksel adresler
  • E-mail adresleri
  • Coğrafi konum kayıtları
  • LinkedIn kullanıcı adları ve profil URL’leri
  • Kişisel ve profesyonel deneyimler ve geçmişler
  • Cinsiyetler
  • Diğer sosyal medya hesapları ve kullanıcı adları

Sonuç

            Dünya devi şirketlerin altyapılarında milyonlarca sızıntı tespit edilen bir yılı geride bıraktık. Yılın geride kalmasıyla birlikte tabii ki sızan veriler hala geride kalmış değil.

            Devasa kitlelere sahip olan bir şirket olmasanız dahi, altyapınızın test edilmesi; olası veri sızıntılarına karşı önlemlerin alınması gerekli. Bunu profesyonel bir firma eşliğinde yaptığınızda, firmanızın olası saldırılara karşı korunmasını sağlayabilir, böylece aklımıza getirmek dahi istemediğimiz veri kayıpları, maddi zararlar gibi sonuçlardan kaçınmış oluruz.

            Secromix Sızma Testi Ekibi, her zaman sizin yanınızda. Profesyonel ve tecrübeli kadrosu ile olası maddi ve manevi kayıplarınızın önüne birlikte geçebiliriz! Daha fazla vakit kaybetmeden bir uzmanımız ile görüşmeye başlamak için iletişim sayfamızı ziyaret etmeyi unutma.