- AT&T’nin yeni veri ihlali, neredeyse tüm müşterilerinin arama ve mesajlaşma ilişki kayıtlarını etkiledi; yaklaşık 110 milyon kişiye bildirim yapılması planlanıyor
- Çalınan veriler ağırlıklı olarak 1 Mayıs 2022–31 Ekim 2022 arasındaki arama ve SMS meta verilerinden oluşuyor; bazı müşteriler için 2 Ocak 2023 kayıtları da dahil
- Mesaj içerikleri veya kesin saat ve tarihler yer almıyor; ancak kimin kiminle iletişim kurduğu, arama hacmi ve arama süresi ile bazı hücre sahası kimlik numaraları açığa çıktı
- Olay, AT&T’nin mart ayındaki güvenlik olayından ayrı ve Snowflake müşteri hesaplarını hedef alan son veri hırsızlığı dalgasıyla bağlantılı
- Snowflake hesaplarının korunmasında çok faktörlü kimlik doğrulamanın kullanılmaması tartışma konusu oldu; Mandiant yaklaşık 165 müşteri hesabında kayda değer veri hırsızlığı tespit etti
AT&T’den sızan telefon kayıtlarının kapsamı
- AT&T, bu olay nedeniyle yaklaşık 110 milyon kişiye bildirim yapmayı planlıyor
- Çalınan veriler, AT&T mobil ve sabit hat müşterilerinin telefon numaraları ile arama ve mesajlaşma kayıtlarını içeriyor
- Kapsanan dönem, 1 Mayıs 2022’den 31 Ekim 2022’ye kadar olan 6 aylık süre
- Bazı müşteriler için 2 Ocak 2023’e ait daha yeni kayıtlar da dahil, ancak bu müşterilerin sayısı açıklanmadı
- AT&T ağını kullanan diğer mobil operatör müşterilerinin arama kayıtları da sızan veriler arasında yer alıyor
- Sızan veriler, arama veya mesaj içeriklerini içermiyor
- Belirli bir AT&T numarasının hangi numarayla arama yaptığı veya mesajlaştığı görülebiliyor
- Müşterilerin toplam arama ve mesaj sayısı ile arama süreleri dahil
- Arama ve mesajların saati veya tarihi dahil değil
- Bazı kayıtlarda telefon aramaları veya kısa mesajlarla bağlantılı hücre sahası kimlik numaraları yer alıyor
- Bu bilgiyle aramanın yapıldığı veya mesajın gönderildiği yaklaşık konum anlaşılabiliyor
- AT&T, olayı müşteriler için bilgi sayfası ve düzenleyici kuruma sunulan belge üzerinden açıkladı
Snowflake hesap hırsızlığı ve soruşturmanın durumu
- AT&T, bu veri ihlalinden 19 Nisan’da haberdar oldu ve mart ayında açıkladığı önceki güvenlik olayıyla bağlantılı olmadığını belirtti
- En güncel müşteri kayıtlarının, Snowflake müşterilerini hedef alan son veri hırsızlığı dalgası kapsamında Snowflake’ten çalındığı doğrulandı
- Snowflake, kurumsal müşterilerin bulutta büyük miktarda müşteri verisini analiz etmesini sağlayan bir hizmet
- AT&T’nin müşteri verilerini Snowflake’te neden sakladığı açıklanmadı
- Son haftalarda Ticketmaster ve LendingTree iştiraki QuoteWizard da verilerinin Snowflake’ten çalındığını doğruladı
- Snowflake, hesap korumasında çok faktörlü kimlik doğrulama kullanmayan müşterileri veri hırsızlığından sorumlu görüyor
- Snowflake, bu güvenlik özelliğini müşterilerine zorunlu kılmamış veya şart koşmamıştı
- Snowflake’in müşteri bildirimlerine destek için çağırdığı Mandiant, yaklaşık 165 Snowflake müşteri hesabından kayda değer miktarda veri çalındığını doğruladı
- Mandiant, bu ihlali UNC5537 olarak izlenen, henüz sınıflandırılmamış bir siber suç grubuna atfediyor
- Bu hacker’ların finansal motivasyona sahip olduğu değerlendiriliyor
- Üyeleri Kuzey Amerika’da bulunuyor; en az 1 üye Türkiye’de
- Snowflake hesap hırsızlığının bazı kurumsal kurbanlarına ait veriler bilinen siber suç forumlarında yayımlandı, ancak AT&T kendi verilerinin şu anda kamuya açık şekilde erişilebilir olduğunu düşünmüyor
- AT&T, ilgili siber suçluların yakalanması için kolluk kuvvetleriyle iş birliği yapıyor; en az 1 kişi tutuklandı
- Tutuklanan kişi AT&T çalışanı değil
- FBI bu tutuklama hakkında yorum yapmadı
- FBI, AT&T’nin ihlali bildirmesinin ardından AT&T, FBI ve Adalet Bakanlığı’nın müşteri ve kamuoyu bildirimini iki kez ertelemeyi kabul ettiğini doğruladı
- Gerekçe, ulusal güvenlik ve kamu güvenliği açısından olası risklerdi
- Üç kurum, erteleme süreci boyunca tehdit istihbaratı paylaşarak FBI soruşturmasını ve AT&T’nin olay müdahalesini destekledi
- Bu olay, AT&T’nin bu yıl açıkladığı ikinci güvenlik olayı
- Daha önce müşteri hesap bilgileri önbelleğinin bir siber suç forumunda yayımlanmasının ardından AT&T, milyonlarca müşterinin hesap parolalarını sıfırlamak zorunda kalmıştı
- O dönemdeki önbellekte AT&T müşteri hesaplarına erişim için kullanılan şifrelenmiş passcode’lar yer alıyordu; güvenlik araştırmacıları bu passcode’ların kolayca çözülebileceğini değerlendirmişti
1 yorum
Hacker News yorumları
AT&T’nin 110 milyon müşterisi var; bu ihlal yüzünden her müşteri hesap yönetimine sadece 1 dakika daha harcasa bile toplamda 209 yıldan fazla zaman yok olmuş oluyor.
Veri ihlallerine ilişkin yasalar çok daha sert olmalı. İhlallerin gerçek anlamda çok az sonucu olursa şirketler veri güvenliğine yalnızca asgari düzeyde yatırım yapar.
Ya tüzel kişilik perdesini kaldırıp ihmaliyle bunun olmasına yol açan kişileri ceza davasıyla yargılamak ya da yönetimi ve hissedarları gerçekten etkileyecek kadar büyük para cezaları kesmek gerekir.
Herkes şirketi suçluyor, ama devletin tüm arama faaliyetlerimin kaydına sahip olmasını normal karşılamanın tuhaf olup olmadığını hiç düşündünüz mü? Eskiden buna distopik gözetim devleti denirdi.
Bilmediğim bir zafiyet yüzünden yazılımım ele geçirildi diye yasal sorumluluk taşımak istemem.
Makul bir ilk adım, veri güvenliği için üçüncü taraf standartları, denetimleri ve sertifikaları oluşturmak ve gizliliğe/güvenliğe önem veren tüketicilerin şirketin ne yaptığını bilmesini sağlamak olabilir. Tüketiciler bunda değer görürse o şirketi daha çok tercih eder, diğer şirketler de onu izleyebilir.
Bunun hâlâ yasa dışı olmamasını aklım almıyor.
AT&T bir gecede neredeyse uçtan uca şifreli bir hizmete dönüşürdü.
Hattın kendisi şifreli olmayacağı için NSA hâlâ dinleme yapardı, ama en azından AT&T veri merkezlerinde önyükleme sürücüleri, SMS mesaj kuyrukları ve onaylı SIM ile telefon numarası eşlemeleri dışında değiştirilebilir depolama sıfır olabilirdi.
Günümüzde arama kayıtlarını neden tutmaya devam ettiklerini bilmiyorum. Başlangıçtaki amacı olan faturalandırma için bile artık gerekli değil.
“Snowflake bulut veri sağlayıcısının 160’tan fazla müşterisini ilgilendiren, hâlâ devam eden veri ihlali” söz konusuysa, Snowflake’in normalde AT&T verilerinin tamamıyla ne yaptığını merak ediyorum. “Pazarlama ortaklarına” yeniden mi dağıtıyor? Öyle görünüyor.
Snowflake web sitesindeki misyon ifadesi şöyle: “Misyonumuz veri silolarını yıkmak, karmaşıklığın üstesinden gelmek ve yayıncılar, reklamverenler ve onları destekleyen temel teknolojiler arasında güvenli veri iş birliğini mümkün kılmaktır.”
O zaman bu, AT&T’nin operasyon sistemlerinin ele geçirilmesi değil; zaten pazarlamacılara satılmakta olan verilerin yetkisiz biri tarafından alınması gibi görünüyor. Bu anlayış doğru mu, merak ediyorum.
Bu ihlale ve Snowflake veri gölündeki verilerin niteliğine bakınca, müşteri açısından bu olayı “sızıntı” olarak görmeyeceğimi düşünüyorum. Asıl sızıntı bunun daha üst akışında zaten gerçekleşmişti.
Veritabanındaki verilerin niteliği ve depolandığı platform düşünüldüğünde, bu verilerin AT&T’nin iç kullanımı için değil; reklamverenler veya tüketici analitiği ortakları gibi üçüncü taraflar ya da devlet kurumları tarafından dışarıdan kullanılmak üzere hazırlanmış olma ihtimali çok yüksek görünüyor.
Yani benim verilerim bu depoda olsaydı, depoya girdiği anda zaten “sızmış” sayardım. Buradaki sorun, AT&T ve FBI açısından yanlış kişilere sızmış olması gibi görünüyor.
AT&T, banka veya devlet fark etmez. Hassas bilgilerin gizli kalacağını hiçbir durumda bekleyemezsiniz.
Eskiden çocuklara interneti tanıtırken bunu neredeyse mutlak bir ilke gibi öğretirdik; 20 yılda ne kadar çok şeyin değiştiği şaşırtıcı.
AT&T hissesi bu sabahki ilk %2,6 düşüşten şimdiden epey toparlandı; demek ki piyasa AT&T’nin bağışık olduğunu düşünüyor. Buna karşılık Snowflake %3,9 düşüşte ve AT&T dışında da çok müşterisi var.
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
Hisse fiyatında görünen bir etki varsa bunun bu haberle ilgisiz olma ihtimalinin yüksek olduğunu düşünüyorum.
Bu durumda, habere göre Ticketmaster ve Lending Tree ihlallerinin nedeni de Snowflake olduğuna göre, şu anda Snowflake’e duyulan güvenin ciddi biçimde sarsılması anlaşılır.
Toplu dava sonucu, kişi başı 2 dolar almak yerine 2000’lerin başındaki zil sesi ek hizmeti için ücretsiz deneme kuponuna dönüşür; sonunda da sadece tekrar eden gelir artar gibi geliyor.
Avrupa’da, operasyon için gerekli kapsamın ötesinde telefon kayıtlarını kapsamlı şekilde saklamak birçok ülkede yasa dışı olurdu; genel olarak da ulusal güvenliğe yönelik gerçek bir tehdit ve mahkeme denetimi altındaki geçici bir önlem söz konusu değilse Avrupa İnsan Hakları Sözleşmesi ile uyumlu değildir[1]
Hizmet sağlayıcının en başta böyle şeyleri saklaması için bir neden yok; bunu mevzuatla düzeltmek de zor değil. Saklamanın kendisini yasa dışı yapmak yeterli
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
Almanya nispeten kısa tarafta; 10 hafta, ama yine de bu tür kayıtların tutulması gerekiyor
Avrupa’da bu tür kayıtların toplanmasının yasa dışı olduğu iddiası açıkça yanlış; dahası kayıt toplama genellikle ülke bazında belirlenen süre boyunca zorunlu
Faturalandırma için telefon kayıtlarına ihtiyaç var. Müşterilerin faturaya itiraz etmesi yaygın olduğundan bir süre daha saklamak da gerekiyor
Ne yazık ki ABD, müşteri korumasından çok “yıkıcı inovasyona” değer veriyor gibi görünüyor; bu yüzden verilerin yasal koruması Kongre’de popüler değil
Bu daha çok GDPR kısıtlamalarına takılacak bir konu gibi geliyor
Tüketiciler veri sızıntılarına o kadar duyarsızlaştı ki artık böyle olaylar karşısında neredeyse hiç öfke oluşmuyor. Tüketici öfkesi yoksa şirketlerin veri sızıntılarını önlemek için daha fazla çaba göstermesi için pek teşvik olmadığını düşünüyorum
Bu tür sızıntılara milyarlarca dolarlık cezalar kesilmeye başlanırsa şirketler birden güvenliğe yatırım yapmaya başlar
Ancak son Yüksek Mahkeme kararıyla kamu kurumlarının gücü zayıfladığı için bunun mümkün olacağını sanmıyorum
Artık para cezası için medeni mahkemelere, yani toplu davalara bel bağlamak gerekecek gibi
AT&T hesabımı 10 yıldan da uzun süre önce kapatmıştım; bu yıl marttaki önceki saldırıda hâlâ eski adresimi, tam adımı ve Sosyal Güvenlik numaramı sakladıkları ortaya çıktı
Beceriksiz kuruluşları gerçekten cezalandıracak düzgün bir yasa olmaması gerçekten akıl almaz
Bu yılın başlarında da AT&T ya da tedarikçilerinden birinin sızıntısı yüzünden Sosyal Güvenlik numaram dark web’e düştü. 1 yıllık izleme yetmez. Ömür boyu gerekli
Güvenlik umurlarında değil. Mevcut durumu değiştirecek gerçek bir teşvik yok. Bu şirketlere süresiz izleme maliyetini ödetmek gerekiyor
Bizim ülkedeki ulusal kimlik numarası; doğum tarihi, o gün doğanlar arasındaki artan sıra numarası ve sağlama toplamı rakamıyla hesaplanabiliyor; biraz bile şahıs işletmesi yaparsanız kişisel vergi numaranızı tüm makbuzlara veya iş amaçlı satın alma belgelerine yazmanız gerekiyor
Bugün ilk doğan erkek çocuğun kimlik numarasının 120702450001X olduğunu bilmek kötü bir işe yaramaz. Sağlama toplamını hesaplamaya üşendim ama algoritma herkese açık
İntiharı önleme hattını, kürtaj kliniğini, kredi geri ödeme hizmetlerini arayanlara ne olacağını düşünmek gerek
Telefon numarası varsa bu tür şeyler öğrenilebilir
TechCrunch makalesine göre baz istasyonu tanımlayıcıları da dahil edilmiş; bu da yaklaşık konum bilgisinin de dahil olduğu anlamına geliyor
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
Peki benim tazminatım nerede, bilmiyorum. Elbette bir giderim yolu olmadığını biliyorum
Devasa müşteri kişisel verisi içeren veri depolarında çok faktörlü kimlik doğrulamayı açmak gibi güvenli uygulamalardan kimse sorumlu tutulmazsa sonuç bu olur
Bir özür bile olmadan raporlayıp geçiyorlar. “Hay aksi, şu lanet siber suçlular” seviyesinde kalıyor