1 puan yazan GN⁺ 2023-08-23 | 1 yorum | WhatsApp'ta paylaş
  • Yalnızca isim ve ikamet edilen eyaletle, geçmiş adresler, akrabalar, telefon numaraları, e-posta ve sürücü belgesi bilgilerinin yer aldığı bir dosya alınabiliyordu; sorgu ücreti 15 dolar değerinde Bitcoin idi
  • Aracın, Experian, Equifax ve TransUnion’ın elindeki credit header verilerine eriştiği görülüyor; bazı durumlarda Sosyal Güvenlik Numarası (SSN) da 20 dolara veriliyordu
  • credit header, ABD’deki yetişkinlerin büyük kısmına ait kredi kartı bağlantılı bilgilerden üretilen kişisel verilerden oluşuyor ve sözleşmeler ile satın almalar yoluyla borç tahsilat şirketlerine, sigorta şirketlerine ve kolluk kuvvetlerine kadar ulaşıyor
  • Suçlular, eski kolluk görevlilerinin kimliğine bürünme gibi yöntemlerle veri tedarik zincirine erişti ve çevrimiçi ortamda diğer suçlulara sınırsız erişim sattı
  • Elon Musk, Joe Rogan ve Joe Biden gibi tanınmış kişilerin sorgulanmasında da kullanıldı; verilerin bir kısmı hassas olmasa da en azından bir bölümünün doğru olduğu doğrulandı

Telegram botu üzerinden satılan kişisel veri sorguları

  • Telegram’da hedef kişinin adı ve yaşadığı eyalet girildiğinde, kısa süre sonra kişisel veri dosyası oluşturuluyordu
  • Dosyada, hedef kişinin ABD’de yaşadığı adresler yer alıyordu; 10 yıldan daha eski üniversite yurdu adresleri bile bulunuyordu
  • Birlikte verilen bilgiler, kimlik doğrulama ve takip için kullanılabilecek kalemlerden oluşuyordu
    • Akrabaların adları ve doğum yılları
    • Cep telefonu numaraları ve operatör bilgileri
    • Kişisel e-posta adresleri
    • Sürücü belgesi bilgileri ve benzersiz kimlik numarası
  • Tam sorgu ücreti 15 dolar değerinde Bitcoin idi ve bot zaman zaman Sosyal Güvenlik Numarasını 20 dolara da sağlıyordu

Kredi derecelendirme kuruluşu veri tedarik zincirinin istismarı

  • Bu aracın, ABD’deki yetişkinlerin büyük kısmı için Experian, Equifax ve TransUnion’ın elindeki credit header verilerine eriştiği görülüyor
  • credit header verisi, kredi kartıyla ilgili bilgilerden üretilen kişisel verilerden oluşuyor ve çeşitli sözleşmeler ile satın almalar üzerinden başka şirketlere aktarılıyor
  • Aktarılan veriler, borç tahsilat şirketlerine, sigorta şirketlerine ve kolluk kuvvetlerine sunulan bir akış izliyor
  • Suçlular bu tedarik zincirine erişmeyi başardı; bazı vakalarda eski kolluk görevlilerinin kimliğine bürünme yöntemi kullanıldı
  • Test edilen araç, Elon Musk, Joe Rogan ve Joe Biden gibi ünlü isimler hakkında bilgi toplamak için de kullanıldı ve herhangi bir erişim kısıtı olmadan çalıştığı görülüyor
  • Doğrulama sonuçlarına göre tüm veriler her zaman hassas değildi, ancak verilerin en azından bir kısmı doğruydu

1 yorum

 
GN⁺ 2023-08-23
Hacker News yorumları
  • Experian, TransUnion, Equifax olmak üzere üçünde de kredi dondurma ayarlamak kesinlikle değer
    İlk kez ayarlarken bir sürü kişisel bilgi vermek gerektiği için can sıkıcı, ama bir kez bitirince dondurmayı kaldırmak ve yeniden dondurmak epey kolaylaşıyor
    URL’yi, kullanıcı adını ve parolayı güvenli bir notta saklayıp, kredi başvurusu gerektiğinde yalnızca bir günlüğüne ya da bir haftalığına kaldırmak yeterli
    Eskiden benim adımla kredi açılması gibi kimlik hırsızlığı sorunları çoktu; kredi dondurma bunu çözdü
    Experian: https://www.experian.com/freeze/center.html
    TransUnion: https://www.transunion.com/credit-freeze
    Equifax: https://www.equifax.com/personal/credit-report-services/cred...
    Bu şirketlerden gerçekten nefret ediyorum, ama referans prosedüründen geçmek buna değdi ve herkese önerebilirim

    • Uzun zamandır kredi dondurma kullanan biri olarak, her kaldırmak istediğimde üç kurumdan birinde süreç değişmiş oluyor ve eskiden belirlediğim kullanıcı adı ve parolayla kaldıramıyormuşum gibi geliyor
      En son, 3 yıldır giriş yapmadığım gerekçesiyle hesabım kilitlendi ve çok fazla ek doğrulama istediler
      Doğrulama, eski adresler gibi ilk ayarlarken sordukları bilgilerden oluştuğu için bazen tam tersine güvensiz görünüyor, bazen de daha karmaşık oluyor
      Zaman geçtikçe, en beklenmedik anda hesap doğrulamasının 60 gün süreceğini söyleyip dondurmayı kaldırmanı engelleyebilirler
    • Kredi verenlerin düzgün bir due diligence bile yapmadan başkasının adına kredi verebilmesi ve sonra bunun yükünün ilgili kişiye kalması epey saçma
      Böyle her olayda kredi verenlere devasa cezalar kesilmeli
    • Bankaların dayattığı kimlik hırsızlığı ifadesinin kendisi aldatıcı
      Bu tür dolandırıcılıkta mağdur birey değil, bankadır
      Kimliğim hâlâ bende; banka ya da alacaklı kendi dikkatsizliğiyle kendi parasını suçluya vermiştir sadece
      Hiçbir dahli olmayan bireyi mağdur hâline getirmek akıl dışı bir fantezi ve yasaların da bu gerçeği yansıtacak şekilde değişmesi gerekir
      Banka kendi dikkatsizliğinin maliyetini masum insanlara yıkabildiği sürece savruk davranmaya devam edecek
      Kamuoyunda bu ifade her geçtiğinde “kimlik hırsızlığı” aldatmacasını reddeden bir anlayış yayılmalı
      Konuyla ilgili Mitchell and Webb radyo skeçi: https://www.youtube.com/watch?v=CS9ptA3Ya9E
    • Pek çok kişi bilmiyor ama https://nctue.com/consumers/ üzerinden de dondurma ayarlamak gerekiyor
      Dolandırıcıların yalnızca cep telefonu hattı açmakla kalmayıp kendi dairelerinin elektriğini de benim adıma başvurarak açtırmasıyla uğraşmak zorunda kaldım; burada dondurma ayarlayınca sorun çözüldü
    • Hayatım boyunca hiç borç almadığım hâlde bunu yapmam gerekip gerekmediğini merak ediyorum
      En başta hiçbir şey başlatmadığım için güvende miyim, bilmiyorum
  • Size tıklama zahmeti yaşatmayalım: gizli silah, bir Telegram grubunda bir suçluya 15 dolar ödeyip birinin kişisel bilgilerini ortaya döktürmek
    Yazının büyük kısmı, bu doxxing hizmetlerinin verileri nereden aldığı ve bu kaynakların nasıl değiştiği hakkında
    Şu anda TransUnion’ın TLOxp servisi popüler

    • Yani anladığım kadarıyla, kredi kartına ya da işe başvururken herhangi bir şirketin erişebildiği veriler, onayıma aldırmayan ama parası olan başka kişilere de sunuluyor
    • https://www.tlo.com/about-us
      TLOxp, veri füzyonu alanını açan oyunu değiştiren teknolojinin en yeni sürümü
      TLOxp’nin kullanım alanları arasında tahsilat, hukuk profesyonelleri, kurum içi hukuk birimleri, lisanslı soruşturmacılar, finansal hizmetler, sigorta, kurumsal risk, araştırmacı gazeteciler, kolluk kuvvetleri, eyalet/yerel/federal devlet kurumları, varlık geri kazanımı ve haciz sayılıyor
    • Bazı kişi bulma sitelerinde, yazıda bahsedilen verilerin çoğu ücretsiz olarak var
      Finans kurumlarının kimliği doğrulamak için sorduğu yanlış bilgilerle aynı tür hatalar bulunduğundan, kaynağın kredi derecelendirme kuruluşları olduğunu düşünüyorum
      Yılda birkaç kez kendi adını aratıp bu sitelere kaldırma talebi göndermek iyi olur
      Çoğu bunu epey hızlı işliyor
    • Bu tepki makaleyi fazla hafife alıyor gibi
      Sanki tıklama tuzağı bir “yakalandı” haberi gibi görünüyor, ama bence başlığın vaat ettiği şeyi tam olarak aktarıyor
      Kredi derecelendirme kuruluşlarının sunduğu, zayıf düzenlenen sorgulama araçları üzerinden doxxing ve daha da kötüsü satılıyor
      Bu iddiaları zayıflatan bir şey mi vardı?
  • Yaklaşım yanlış
    Bireylerin kimliği ve kimlik doğrulaması, sosyal güvenlik numarası, ehliyet numarası, adres geçmişi gibi değişmez ve ifşa edilebilir bilgilere dayanmamalı
    Bu bilgilerin sızmasının pek çok yolu var ve bir kez sızdıklarında sonsuza kadar kalıyorlar
    Doğru dürüst bir dijital kimlik, kimlik doğrulama ve uyuşmazlık çözüm mekanizmasına ihtiyacımız var
    Ucuz olmayacak, ama uzun vadede alternatifler daha pahalı

    • Katılmıyor değilim, ama dijital kimlik oluşturulursa özgür internet sonunda kalıcı olarak ölecek
    • Son dönemde banka ya da aracı kurum hesabı açarken gerçekten pasaportun fotoğrafını çekme, pasaportu tutarken selfie ya da video çekme yöntemine geçilmiş gibi
      Biraz zahmetli, ama hack’lenmesi epey zor
      Elbette pasaport ya da ona denk bir kimlik yoksa çalışmıyor
    • Kimlik hırsızları, bir kez ihlal yaşandığında birinin kimliğini tamamen ele geçirebilecekleri bir sistemi çok sever
      Kredi almaya çalışırken kimliğinin iptal edildiğini ve başka birinin çoktan onu ele geçirdiğini öğrendiğini hayal etmen yeterli
  • TransUnion, “TLOxp’nin kötüye kullanıldığını tespit ettiğimiz çok nadir durumlarda, sorumluların yargılanmasına yardımcı olmak için kolluk kuvvetleriyle iş birliği yaparız” demişti; bu tamamen yalan
    TransUnion, yalnızca herkese açık bilgilere sahip hacker’lara benim tam kredi raporumu vermişti ve hiç umursamamıştı

    • TransUnion’daki sorumluların yargılanması için kolluk kuvvetleriyle iş birliği yapabilmeyi umuyorum
    • Veri saklama konusundaki ihmalin anlamlı sonuçları olsaydı; örneğin “Özür dileriz, size ücretsiz kredi izleme hizmeti verelim” gibi saçmalıklar yerine gerçekten can yakacak büyüklükte para cezaları olsaydı, kredi derecelendirme kuruluşları da tavırlarını düzeltirdi
      Bunun yakın zamanda olacağını sanmıyorum
    • İmkânınız varsa, TransUnion’ın hukuka aykırı eylemleri için hukuk davası açmak uygun olabilir
      Elbette bu inanılmaz zahmetli bir iş
    • Bir avukatla birlikte ilerlemeye niyetliyseniz, mahkeme celbine uyacaklarını düşünüyorum
    • Kendileri de “kötüye kullanımı tespit ettiğimiz çok nadir durumlar” diyor
      Ne kadar önemsedikleri ya da tespitten sonra ne kadar takip yaptıkları hakkında hiçbir şey söylemiyorlar
  • Kredi derecelendirme kuruluşlarında nefret ettiğim başka bir şey daha var
    Ticari gayrimenkul aracılık şirketlerine gittiğinizde, tüm broker’ların kredi derecelendirme kuruluşu lisansı olduğunu ve özellikle junior broker’ların her gün gayrimenkul sahiplerini sorgulayıp cep telefonlarından satış aramaları yaptığını görürdünüz
    TLO da ticari gayrimenkul aracılığı sektörünün büyük bir kısmının her gün ürününü kullanmasının GLBA uyumluluğu amacıyla olamayacağını biliyor olmalı; ama görmezden gelip bundan para kazanmanın yolunu arıyor
    Bu bilgiyi elde etmek için internetin karanlık köşelerini kazımanıza da gerek yok
    Ön kapıdan girmeniz yeterli

  • “Bir suçludan veri karşılığında ücret alırsanız, bu veri sızıntısı değildir
    O zaman hizmet sunmuş olursunuz”
    — kredi derecelendirme kuruluşları

  • Biri sizi arayıp, zaten kişisel bilgilerinizin çoğunu bildiğini söyleyerek “gerçek” olduğunu kanıtlamaya çalışsa bile, asla kişisel bilgi vermemelisiniz
    Her zaman onların verdiği numarayı değil, sizin bizzat bulduğunuz numarayı arayıp geri dönmelisiniz

    • Sabit hat kullanıyorsanız, aramayı aldığınız aynı telefonla geri aramamak da önemlidir
      Eskiden dolandırıcıların kendilerini banka gibi tanıtıp aradıktan sonra, kredi kartının arkasındaki numarayı aramalarını söyledikleri olaylar olmuştu
      Kurban telefonu kapatıp tekrar ahizeyi kaldırınca dolandırıcılar hattı tutmaya devam ediyor, sahte çevir sesi çalıyor ve başka biri “cevap veriyormuş” gibi kandırıyordu
    • Günümüzde telefona kim bakıyor ki?
      Bilinmeyen numaraysa hiç bakmıyorum
    • Bunun o konuyla ilgisi yok
      Makalede ele alınan soruna karşı herkes savunmasız
  • Bundan sonra işlerin daha da kötüleşeceğini düşünüyorum
    Kimsenin ilgilenmediği için sınıflandırılmamış dağ gibi veri var ve artık iyi büyük dil modelleri bu işi bizim yerimize yapabilir

  • Tüm o sektör yasaklanmalı
    Mahkemeler kredi temerrütlerini kaydedip bu bilgiyi alacaklılara sağlayabilir
    Raporda bunun dışında hiçbir şey olmamalı
    Kredi verenler zaten geliri bağımsız olarak doğruluyor; konut kredilerinde aylık harcamaları da kontrol ediyorlar
    Kredi raporlarına giren ve kredi skoru hesaplamasında kullanılan geri kalan bilgiler, insanları kredi kartı almaya zorlamak ve yapısal ırkçılığı sürdürmek için varmış gibi görünüyor

  • Bu durum, 20 yıl önce özel dedektiflerin hacker konferanslarında istedikleri bilgileri yasal yollardan elde etmenin türlü yollarını sundukları zaman bile zaten açıktı
    Biraz aramayla, küçük bir ücret karşılığında özel bilgileri ortaya çıkaran yaklaşık 500 çevrimiçi hizmet bulabilirsiniz
    Bunlar hacker’ların değil, halka açık şirketlerin işlettiği hizmetler
    Görünüşe göre biri şimdi bunu daha da kolaylaştıran bir bot yapmış
    Böyle makaleler, hacker’lar için “kapı kilitleri güvenli değildir” başlıklı bir yazı gibi okunuyor

    • 20 yıldan biraz daha kısa bir süre önce, o dönem görüştüğüm kız arkadaşımın eski erkek arkadaşından, geri çekilmemi söyleyen bir telefon almıştım
      Elindeki tek şey adım ve okuduğum üniversiteydi
      Numaramı nasıl bulduğunu sorduğumda, yukarıda bahsedilen türden bir hizmet kullandığını söyledi
      Kafaya koymuş biri için böyle şeyler özellikle zor değildi
    • Sadece whitepages.com bile 20 dolarlık kimlik araştırması satın aldığınızda epey fazla herkese açık veriyi ortaya çıkarıp bir araya getiriyor
      Gereken tek şey kişinin telefon numarası
    • Deep web’deki birçok materyal, yaklaşık 20 dolarlık ödeme duvarlarının arkasına girdiği için bir süredir bakmadım
      Yine de 20 yıl önce bile, bir kişi hakkında çok az şey bilseniz bile, özellikle adı yaygın değilse, inanılmaz miktarda bilgi bulunabileceği açıktı