Bu yıl, 2023, tıpkı bir önceki yıl (ve ondan önceki yıl vb.) gibi, veri ihlalleri açısından cehennem bir yıldı. Geçtiğimiz 12 ay boyunca, bilgisayar korsanlarının popüler dosya aktarım araçlarındaki hatalardan yararlanarak binlerce kuruluşun güvenliğini tehlikeye attığını gördük; fidye yazılımı çeteleri kurbanlarına şantaj yapmayı amaçlayan yeni agresif taktikler benimsiyor; Saldırganlar, hastaların sağlık bilgileri ve sigorta ayrıntıları gibi son derece hassas verileri sızdırmak için hastaneler gibi yeterli kaynağa sahip olmayan kuruluşları hedef almaya devam ediyor.
Aslında ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın (HHS) Ekim ayı verilerine göre sağlık ihlalleri 88 milyondan fazla kişiyi etkiledigeçen yıla göre yüzde 60 artış gösterdi. Ve bu yılın son iki ayını bile hesaba katmıyor.
2023 yılının en yıkıcı veri ihlallerini bir araya getirdik. Yıl bitmeden bu listeyi güncellememiz gerekmediğini umuyoruz…
Fortra Her Yere Git
2023’e yalnızca birkaç hafta kala, bilgisayar korsanları Fortra’nın GoAnywhere yönetilen dosya aktarım yazılımını etkileyen sıfır gün güvenlik açığından yararlanarak 130’dan fazla şirketin toplu olarak hacklenmesine olanak sağladı. Bu güvenlik açığı, CVE-2023-0669 olarak izlendisıfır gün olarak biliniyordu çünkü Fortra bir yama yayınlamaya zaman bulamadan aktif olarak kullanıldı.
Bu kritik uzaktan enjeksiyon hatasından yararlanan toplu saldırılar, 130’dan fazla kurban kuruluştan veri çalan kötü şöhretli Clop fidye yazılımı ve gasp çetesi tarafından hızla ele geçirildi. Etkilenenlerden bazıları arasında, Amerika Birleşik Devletleri’ndeki 20 milyondan fazla üyesine ek faydalar sunan Florida merkezli bir teknoloji şirketi olan NationBenefits; Çocuklara yönelik sanal koçluk ve terapi sağlayıcısı Brightline; Kanadalı finansman devi Investissement Québec; İsviçre merkezli Hitachi Energy; ve Toronto Şehri bunlardan sadece birkaçıdır.
TechCrunch’ın Mart ayında açıkladığı gibi, toplu saldırı haberlerinin ilk kez gün yüzüne çıkmasından iki ay sonra, bazı kurban kuruluşlar GoAnywhere sistemlerinden verilerin çalındığını ancak fidye talebi aldıktan sonra öğrendiler. GoAnywhere aracını geliştiren şirket Fortra, daha önce bu kuruluşlara verilerinin olaydan etkilenmediğini söylemişti.
Kraliyet Postası
Ocak ayı siber saldırılar açısından yoğun bir aydı; İngiltere’deki posta devi Royal Mail de bir fidye yazılımı saldırısının kurbanı olduğunu doğruladı.
İlk olarak 17 Ocak’ta Royal Mail tarafından onaylanan bu siber saldırı, aylarca süren aksamalara neden oldu ve İngiliz posta devinin Birleşik Krallık dışındaki yerlere herhangi bir mektup veya paket gönderememesine neden oldu. Rusya bağlantılı LockBit fidye yazılımı çetesi tarafından üstlenilen olayda, hacker grubunun karanlık web sızıntı sitesinde yayınladığı hassas verilerin çalınması da yaşandı. Bu veriler arasında teknik bilgiler, insan kaynakları ve personel disiplin kayıtları, maaş ve fazla mesai ödemelerinin ayrıntıları ve hatta bir personelin Kovid-19 aşı kayıtları yer alıyordu.
Veri ihlalinin tam boyutu bilinmiyor.
3CX
Yazılım tabanlı telefon sistemi üreticisi 3CX, dünya çapında 600.000’den fazla kuruluş tarafından günlük 12 milyondan fazla aktif kullanıcıyla kullanılmaktadır. Ancak Mart ayında şirketin güvenliği, geliştirme aşamasında olan 3CX istemci yazılımına kötü amaçlı yazılım yerleştirerek alt müşterilerini hedeflemek isteyen bilgisayar korsanları tarafından ele geçirildi. Bu izinsiz giriş, Kuzey Kore hükümetinin kripto para borsalarını hedef alan gizli saldırılarıyla bilinen hack birimi olan kötü şöhretli Lazarus Grubunun bir alt birimi olan Labyrinth Chollima’ya atfedildi.
Bugüne kadar bu küstah tedarik zinciri saldırısının kaç 3CX müşterisini hedef aldığı bilinmiyor. Ancak ihlale başka bir tedarik zinciri saldırısının neden olduğunu biliyoruz. Google Cloud’un sahibi olduğu Mandiant’a göre saldırganlar, bir 3CX çalışanının dizüstü bilgisayarında bulunan X_Trader finans yazılımının kötü amaçlı yazılım içeren bir sürümü aracılığıyla 3CX’in güvenliğini ihlal etti.
kişi
Nisan ayında bilgisayar korsanlarının, müşterileri arasında Ulusal Sağlık Hizmeti ve Birleşik Krallık Çalışma ve Emeklilik Bakanlığı’nın da bulunduğu Birleşik Krallık dış kaynak devi Capita’yı ele geçirdiği görüldü. Bu saldırının sonuçları, daha fazla Capita müşterisinin, riskin ilk kez gerçekleşmesinden haftalar sonra hassas verilerin çalındığını öğrenmesiyle aylarca sürdü. Birleşik Krallık’ın en büyük bireysel emeklilik sağlayıcısı olan Üniversiteler Emeklilik Programı da etkilenenler arasında yer aldı ve Mayıs ayında 470.000 üyenin kişisel bilgilerine erişildiği doğrulandı.
Bu, bu yıl Capita’yı etkileyen ilk siber güvenlik olayıydı. Capita’nın büyük veri ihlalinden kısa bir süre sonra TechCrunch, dış kaynak devinin 2016 yılından bu yana toplam 655 gigabayt boyutunda binlerce dosyayı internete açık bıraktığını öğrendi.
MOVEit Aktarımı
Kuruluşların dosyaları güvenli bir şekilde paylaşmak için kullandıkları bir diğer popüler dosya aktarma aracı olan MOVEit Transfer’in toplu olarak kullanılması, 2023’ün en büyük ve en zarar verici ihlali olmaya devam ediyor. Bu olayın etkileri (devam etmeye devam ediyor) Mayıs ayında Progress Software’in açıkladığı zaman başladı. MOVEit Transfer’de kritik dereceli sıfır gün güvenlik açığı. Bu kusur, Clop çetesinin bu yıl binlerce MOVEit Transfer müşterisinin hassas verilerini çalmak için ikinci bir toplu saldırı turu gerçekleştirmesine olanak sağladı.
En güncel istatistiklere göre, MOVEit Transfer ihlali şu ana kadar 2.600’den fazla organizasyonun kurbanı oldu ve bilgisayar korsanları yaklaşık 84 milyon kişinin kişisel verilerine erişti. Bunlar arasında Oregon Ulaştırma Bakanlığı (3,5 milyon kayıt çalındı), Colorado Sağlık Hizmetleri Politikası ve Finansman Dairesi (4 milyon) ve ABD hükümet hizmetleri sözleşme devi Maximus (11 milyon) yer alıyor.
Microsoft
Eylül ayında, Çin destekli bilgisayar korsanları son derece hassas bir Microsoft e-posta imzalama anahtarı elde etti ve bu anahtar, bilgisayar korsanlarının çeşitli federal hükümet kurumlarına ait olanlar da dahil olmak üzere düzinelerce e-posta gelen kutusuna gizlice sızmasına olanak tanıdı. Microsoft’un, Storm-0558’i takip eden yeni keşfedilen bir casusluk grubuna ait olduğunu iddia ettiği bu bilgisayar korsanları, ABD siber güvenlik kurumu CISA’ya göre, bu e-posta hesaplarından sınıflandırılmamış e-posta verilerini sızdırdı.
Otopsi sırasında Microsoft, bu saldırganların e-posta hesaplarına erişim için iskelet anahtarını çalmalarına izin veren ilk etapta nasıl izin verdiklerine dair somut bir kanıtın henüz bulunmadığını (veya paylaşmak istemediğini) söyledi. Teknoloji devi, 2020’de SolarWinds’i hackleyen Rus casusluk kampanyasından bu yana gizli olmayan hükümet verilerinin en büyük ihlali olduğu düşünülen olayı ele alma biçimi nedeniyle ciddi bir incelemeyle karşı karşıya kaldı.
CitrixBleed
Ekim ayıydı ve bu sefer Citrix NetScaler sistemlerinde kritik dereceli bir güvenlik açığından yararlanan yeni bir toplu saldırı dalgasının işaretiydi. Güvenlik araştırmacıları, saldırganların artık “CitrixBleed” olarak bilinen bu kusurdan yararlanarak dünya çapında perakende, sağlık ve üretim sektörlerini kapsayan kuruluşlara sızmayı amaçladıklarını gözlemlediklerini söylüyor.
Bu toplu saldırıların tam etkisi gelişmeye devam ediyor. Ancak saldırılardan sorumlu fidye yazılımı çetesi LockBit, bu kusurdan yararlanarak büyük firmaların risklerini aştığını iddia ediyor. CitrixBleed hatası, Rusya bağlantılı çetenin, etkilenen Citrix NetScaler sistemlerinden oturum çerezleri, kullanıcı adları ve şifreler gibi hassas bilgileri çıkarmasına ve bilgisayar korsanlarının savunmasız ağlara daha derin erişim sağlamasına olanak tanıdı. Buna havacılık devi Boeing gibi bilinen kurbanlar da dahildir; hukuk firması Allen & Overy; ve Çin Sanayi ve Ticaret Bankası.
23veBen
Aralık ayında, DNA test şirketi 23andMe, bilgisayar korsanlarının müşterilerinin yarısının, yani yaklaşık 7 milyon kişinin soy verilerini çaldığını doğruladı. Ancak bu itiraf, Ekim ayında, bir bilgisayar korsanının 23andMe kullanıcılarının çalınan profillerinin ve DNA bilgilerinin bir kısmını tanınmış bir bilgisayar korsanlığı forumunda yayınlamasının ardından kullanıcı ve genetik verilerinin alındığının ilk kez ortaya çıkmasından haftalar sonra geldi.
23andMe başlangıçta bilgisayar korsanlarının, diğer veri ihlalleri nedeniyle zaten kamuya açıklanmış olan çalıntı kullanıcı şifrelerini kullanarak kullanıcı hesaplarına eriştiklerini söyledi ancak daha sonra ihlalin, kullanıcıları genetik akrabalarıyla eşleştiren DNA Akrabaları özelliğini seçenleri de etkilediğini itiraf etti.
Veri ihlalinin tüm kapsamını ortaya çıkardıktan sonra 23andMe, ihlal mağdurlarının şirkete karşı yasal hak talebinde bulunmasını zorlaştırmak için hizmet şartlarını değiştirdi. Avukatlar bu değişikliklerin bazılarını “alaycı” ve “kendi çıkarlarına hizmet eden” olarak nitelendirdi. Eğer ihlal iyi bir şey yaptıysa, o da diğer DNA ve genetik test şirketlerini 23andMe veri ihlali ışığında kullanıcı hesaplarının güvenliğini artırmaya yöneltmiş olmasıdır.