AT&T müşterilerinin 'neredeyse tamamının' telefon kayıtlarının çalındığı veri ihlali olayı

 (techcrunch.com)
1 puan yazan GN⁺ 2024-07-13 | 1 yorum | WhatsApp'ta paylaş

AT&T müşteri veri ihlali olayı

  • AT&T veri ihlali olayı

    • AT&T, siber suçluların neredeyse tüm müşterilerinin telefon kayıtlarını çaldığını doğruladı
    • Çalınan veriler arasında milyonlarca AT&T müşterisinin telefon numaraları, arama ve mesaj kayıtları ile konumla ilgili veriler yer alıyor

  • Çalınan verilerin içeriği

    • Sabit hat ve mobil müşterilerin telefon numaraları ile arama ve mesaj kayıtları dahil
    • Arama ve mesaj içerikleri dahil değil
    • Arama ve mesaj kayıtlarının meta verileri (arama ve mesaj sayısı, arama süresi vb.) dahil
    • Verilerin bir kısmı 2 Ocak 2023 sonrasındaki kayıtları da içeriyor

  • Sızdırılan verilerin etkisi

    • Yaklaşık 110 milyon AT&T müşterisine bildirim yapılacak
    • Diğer operatörlerin müşterilerine ait arama kayıtları da dahil
    • Bazı veriler, konum takibinde kullanılabilecek hücre sahası kimlik numaralarını içeriyor

  • İhlalin nedeni

    • AT&T, veri ihlalini 19 Nisan'da fark etti
    • Veriler, bulut veri şirketi Snowflake'ten çalındı
    • Snowflake'te çok faktörlü kimlik doğrulamanın kullanılmaması veri ihlaline yol açtı
    • Mandiant, yaklaşık 165 Snowflake müşterisinin verilerinin çalındığını bildirdi

  • Hukuki süreç

    • AT&T, siber suçluların yakalanması için kolluk kuvvetleriyle iş birliği yapıyor
    • FBI ve DOJ, ulusal güvenlik ve kamu güvenliği riski gerekçesiyle duyuruyu iki kez erteledi

  • Önceki olay

    • AT&T bu yılın başlarında da müşteri hesap bilgileriyle ilgili bir veri ihlali yaşamıştı

GN⁺ özeti

  • AT&T'nin veri ihlali olayı yaklaşık 110 milyon müşteriyi etkiliyor
  • Veri ihlalinin başlıca nedeni, Snowflake'te çok faktörlü kimlik doğrulamanın kullanılmamasından kaynaklanan güvenlik açığı
  • Bu olay, müşterilerin kişisel verilerinin korunması konusunda ciddi sorular ortaya çıkarıyor
  • Benzer işlevler sunan diğer bulut veri hizmetleri arasında AWS ve Google Cloud bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-13
Hacker News görüşleri

  • AT&T'nin 110 milyon müşterisi hesap yönetimi için fazladan yalnızca 1'er dakika harcasa bile 209 yıldan fazla zaman boşa gider

    • Veri ihlaliyle ilgili yasalar daha güçlü olmalı
    • Şirketlerin yalnızca asgari güvenlik önlemleri almasının nedeni, ihlaller için neredeyse hiç gerçek ceza olmaması
    • Şirketlerden hesap sorulmalı ve ihlale ihmalle yol açan kişiler cezai olarak yargılanmalı
    • Şirket yönetimi ve hissedarların gerçek sonuçlarla yüzleşmesi için çok büyük para cezaları uygulanmalı

  • Snowflake veri ihlali olayı, AT&T'nin operasyonel tarafıyla değil, pazarlama ortaklarına satılan verilerle ilgiliydi

    • Snowflake'in misyonu veri silolarını yıkmak, karmaşıklığın üstesinden gelmek ve güvenli veri iş birliğini mümkün kılmak
    • Avrupa'da bu tür veri depolama yasa dışıdır ve Avrupa İnsan Hakları Sözleşmesi ile de uyumlu değildir
    • Hizmet sağlayıcıların bu tür verileri saklamasına gerek yoktur ve bunu yasayla yasaklamak kolaydır

  • 10 yıl önce AT&T hesabımı kapattım ama adresim, adım ve SSN'im hâlâ saklanıyordu

    • Beceriksiz kuruluşları cezalandıracak yasa olmaması saçmalık

  • AT&T hissesi ilk etapta %2,6 düştü ama sonra toparlandı; Snowflake ise %3,9 düştü

    • Piyasa, AT&T'nin etkilenmeyeceğini düşünüyor

  • TechCrunch haberine göre, hücre sahası tanımlayıcıları da dahil olduğu için yaklaşık konum bilgisi de sızdı

  • Tüketiciler veri ihlallerine karşı duyarsızlaştı; bu yüzden neredeyse hiç öfke yok

    • Tüketici öfkesi olmazsa şirketlerin veri ihlallerini önlemek için daha fazla çaba göstermesi yönünde bir motivasyonu da olmaz

  • Bu yılın başlarında SSN'ler dark web'e sızdırıldı

    • 1 yıllık izleme yeterli değil; ömür boyu izleme gerekli
    • Güvenlik için gerçek bir teşvik yok
    • Süresiz izleme maliyetini onların ödemesi sağlanmalı

  • AT&T gibi şirketler kimlik hırsızlığına karşı fiilen bağışık

    • Şirketlerin EIN'i herkese açıktır ama bununla kimlik hırsızlığı ya da kredi kartı dolandırıcılığı yapılamaz

  • Veriler zaman geçince silinmeli

    • Müşterilerin geçen yıl kendisini kimin aradığını görmeye neredeyse hiç ihtiyacı yok
    • Suç soruşturmaları veya casusluk gibi durumlar dışında müşterilerin verilerin ne kadar süre saklanacağına ve nasıl kullanılacağına karar verme hakkı yok
    • Şirketler, müşterilerin kendi verilerini yönetebilmesi için araçlar ve özellikler sunmalı