Sızıntı Raporu: Bir Aktüerya Şirketi
Security Affairs, bugün Pierluigi Paganini imzasıyla yayımladığı bir rapor ile WizCase ekibinin büyük bir aktüerya şirketine ait ciddi bir veri sızıntısı vakasını tespit etmiş olduğunu açıklayarak bulgularını sundu. Rapor ile ilgili notlarımı burada da paylaşmak istedim.
Raporu buradan okuyabilirsiniz.
- Saldırı yanlış konfigüre edilmiş bir Amazon S3 (Simple Storage Service) bucket’ı üzerinden yapılmış.
- Bulut altyapısı olduğu için burada kullanılan “bucket” kavramında amaç verinin saklanmasının yanı sıra analiz edilebilmesi ve pek çok farklı yerden büyük miktarlarda verinin çekilebilmesi. Bu farklı yerler web siteleri ya da mobil uygulamalar olabileceği gibi kurumsal uygulamalar da olabiliyor.
- Toplam boyutun 20 GB civarında olduğu söyleniyor, bucket’a erişim için herhangi bir yetkilendirme yapılmamış ve herkese açık durumdaymış.
- Verileri sızdırılan ilgili kişiler kaza geçiren ve 2018–2020 arasında firma ile çalışan kişiler.
- 15000'den fazla dava ile ilgili 55000'den fazla zabıt sızdırıldı, yüzbinlerce insanın çok ciddi kişisel verisinin sızdırılmış olduğunu söyleyebiliriz.
- Saldırıya uğrayan firma 2012'den beri faaliyet göstermekteydi. Kuruluş süresini göz önüne alacak olursak hiçbir verisini silmediğini de söyleyebiliriz.
- Veri ihlali 30 Eylül 2020'de fark edilmiş ve hemen firmaya ulaşılmış. Haftasına Amazon’a da bilgi verilmiş. Amazon’a bilgi verildikten 6 gün sonra sunucu güvenlik altına alınmış. Firma ihlal bilgisini veren ekibe herhangi bir geri dönüş yapmamış.
- Sızdırılan kişisel veriler arasında TCKN, ad ve soyad, doğum tarihi gibi önemli veri tipleri var. Bunun dışında ilgili kişilere dair pek çok tali bilgi de sızmış durumda; beklenen ya da alınmakta olan maaş, bir kaza ya da ölüm meydana geldiyse buna dair bilgiler gibi.
- Kaza tutanakları sızmış. Kaza tutanakları genellikle el yazısı ile doldurulduğu için buradan sızacak verilerin elle taranması gerekebilir. Tabi OCR’ın ne derecede ilerlemiş olduğu da ayrı bir husus.
- Dava söz konusu olan durumlarda sağlık raporları ve pek çok sağlık verisinin de sızmış olduğu görülüyor. Burada sızan veriler semptomlardan uygulanan ilaçlara kadar geniş bir yelpazede. Tedavi uygulayan doktorun adına kadar sızmış durumda, doğal olarak.
Peki ne olacak?
Sonuçları ikiye ayıralım, ilgili kişilere yönelik ortaya çıkabilecek riskler ve firmaya yönelik riskler.
Firma öncelikle gerekli güvenlik önlemini almış ancak buradan ciddi bir ceza yeme riski yadsınamaz durumda. Kişisel Verilerin Korunması Kurulu’na sızıntı riski ile ilgili bir başvuru yapılmış ise dahi ceza riskleri mevcut, çünkü raporu göz önüne alırsak alınması gereken güvenlik tedbirlerinde birtakım eksiklikler olduğu görülüyor. Sigortacılık sektörü çok önemli veriler ile çalışıyor ve bu nedenle en az bankalar kadar sıkı önlemlere başvurmaları şart.
Burada bir diğer husus Amazon ile ilgili. Burada sızmış olan verilerden anlaşıldığı kadarıyla bunlar hem yeterli güvenlik önlemleri alınmadan saklanmış, hem de yapı itibariyle yurtdışına çıkarılmış durumda. Yani burada ek bir ceza kalemi olarak kişisel verilerin açık rıza olmadan yurtdışına aktarılması da söz konusu olabilir.
Kişisel verilerin yurtdışına aktarılması ile ilgili yollardan Kurul’a başvuru yolu yakın zamanda aktif hale geldi diyebiliriz. Başvuruculardan birinin başvurusu Kurul tarafından onaylandı ve sürecin artık başladığı söylenebilir. Sektör tarafından uzun zamandır beklenen bir gelişmeydi.
Kişiler ile ilgili olarak raporda oldukça detaylı bir şekilde neler olabileceğinden bahsedilmiş, bunlar arasında kimlik hırsızlığı, oltalama saldırıları, kurumsal casusluk, şantaj ve tahdit, rüşvet gibi maddeler sayılmış.
Gerçekten de raporda da örneklenmiş olduğu üzere tam kapsamda dava dosyaları sızmış ise, buradan derlenecek bilgiler ile dersini iyi çalışan bir saldırganın bu tip bir saldırı gerçekleştirme riski mevcut. Bu nedenle söz konusu firma ile çalışmış olan herkesin bu tip bir riski göz önüne alması ve hazırlıklı olması gerekiyor.
