Siber Dünya güne yine hızlı bir hareketlilik ile başladı. Kısa süre önce bir VPN şirketi olan LimeVPN’in binlerce kullanıcının kişisel verilerinin açığa çıkmasıyla saldırıya uğradığı bildirildi. Facebook ve LinkedIn‘den sonra 69 bin LimeVPN kullanıcısının bilgileri Dark Web‘de satışa sunuldu! Ayrıca dark web ve çeşitli hacker forumlarında binlerce kullanıcı kaydı satma sürecindeler.
LimeVPN nedir?
LimeVPN, Amerika Birleşik Devletleri, İngiltere, Kanada, Japonya, Hindistan, Fransa, İsveç ve diğer konumlardaki sunucuları olan Hong Kong merkezli ucuz bir VPN sağlayıcısıdır. Doğrudan ana sayfalarında görüldüğü gibi, LimeVPN kendisini ayda 1 dolarlık abonelik planlarıyla övünen “ucuz bir VPN servis sağlayıcısı” olarak tanıtıyor.
Aşağıdaki ekran görüntüsünde, hacker tarafından 69.000’den fazla kaydın ihlal edildiğini ve ifşa edildiğini fark edeceksiniz:
Sızıntı neler içeriyor?
Bu kayıtlar kullanıcıların IP adreslerini, e-postaları, şifreleri, ödeme bilgilerini ve diğer kişisel verilerini içeriyor. RaidForums Web Sitesini ziyaret ederek bu LimeVPN veri ihlaliyle ilgili tüm ileti dizisini görüntüleyebilirsiniz .
Bilgisayar korsanları, güvenli olmayan bir yedekleme sunucusundan alınan şifreler ve ödeme bilgileriyle LimeVPN kullanıcısından oluşan bir veritabanına erişim sağladı. Sızıntı yeni verileri, Haziran verilerini içeriyor. Hesaplar ve fatura bilgileriyle birlikte, istemcilerin VPN trafiğinin şifresini çözmek için kullanılabilecek özel anahtarları çaldılar. Ekran görüntülerine bakarsanız, LimeVPN’in bir sürü veri depoladığı ortaya çıkıyor.
İhlal LimeVPN için ne anlama geliyor?
VPN sağlayıcıları, paralarını, verilerinin gizli ve onlarla güvende olacağına dair güvence vererek kazanırlar. Aslında LimeVPN bütün veritabanını aksine bir güvenlik ihlali ile kazanmış. Bu tabi ki şirketin imajına ağır bir darbe oldu. Şüphesiz internet kullanıcıları nezdinde itibarına zarar verecek güçlü bir etkisi olacaktır.
Bu büyük veri ihlali, bazı kullanıcıların şirketin gerçekte ne kadar veri depoladığını sorgulamasına neden olabileceğinden, LimeVPN’in kayıt tutmama politikası da sorgulanacak. Sağlayıcının gizlilik politikasının bağımsız bir denetimi olmadan, ‘kayıt tutmama’ ifadesinin fazla bir ağırlığı yoktur ve mevcut durum müşterilerden çok fazla şüpheciliğe neden olacaktır.
Bu yaşanan siber güvenlik ihlalleri de bize KVKK ve sızma testi , VPN gibi kavramların ne kadar önemli olduğunu bir kez daha gösteriyor.