1 puan yazan GN⁺ 2024-07-13 | 1 yorum | WhatsApp'ta paylaş
  • AT&T’nin yeni veri ihlali, neredeyse tüm müşterilerinin arama ve mesajlaşma ilişki kayıtlarını etkiledi; yaklaşık 110 milyon kişiye bildirim yapılması planlanıyor
  • Çalınan veriler ağırlıklı olarak 1 Mayıs 2022–31 Ekim 2022 arasındaki arama ve SMS meta verilerinden oluşuyor; bazı müşteriler için 2 Ocak 2023 kayıtları da dahil
  • Mesaj içerikleri veya kesin saat ve tarihler yer almıyor; ancak kimin kiminle iletişim kurduğu, arama hacmi ve arama süresi ile bazı hücre sahası kimlik numaraları açığa çıktı
  • Olay, AT&T’nin mart ayındaki güvenlik olayından ayrı ve Snowflake müşteri hesaplarını hedef alan son veri hırsızlığı dalgasıyla bağlantılı
  • Snowflake hesaplarının korunmasında çok faktörlü kimlik doğrulamanın kullanılmaması tartışma konusu oldu; Mandiant yaklaşık 165 müşteri hesabında kayda değer veri hırsızlığı tespit etti

AT&T’den sızan telefon kayıtlarının kapsamı

  • AT&T, bu olay nedeniyle yaklaşık 110 milyon kişiye bildirim yapmayı planlıyor
  • Çalınan veriler, AT&T mobil ve sabit hat müşterilerinin telefon numaraları ile arama ve mesajlaşma kayıtlarını içeriyor
    • Kapsanan dönem, 1 Mayıs 2022’den 31 Ekim 2022’ye kadar olan 6 aylık süre
    • Bazı müşteriler için 2 Ocak 2023’e ait daha yeni kayıtlar da dahil, ancak bu müşterilerin sayısı açıklanmadı
  • AT&T ağını kullanan diğer mobil operatör müşterilerinin arama kayıtları da sızan veriler arasında yer alıyor
  • Sızan veriler, arama veya mesaj içeriklerini içermiyor
    • Belirli bir AT&T numarasının hangi numarayla arama yaptığı veya mesajlaştığı görülebiliyor
    • Müşterilerin toplam arama ve mesaj sayısı ile arama süreleri dahil
    • Arama ve mesajların saati veya tarihi dahil değil
  • Bazı kayıtlarda telefon aramaları veya kısa mesajlarla bağlantılı hücre sahası kimlik numaraları yer alıyor
    • Bu bilgiyle aramanın yapıldığı veya mesajın gönderildiği yaklaşık konum anlaşılabiliyor
  • AT&T, olayı müşteriler için bilgi sayfası ve düzenleyici kuruma sunulan belge üzerinden açıkladı

Snowflake hesap hırsızlığı ve soruşturmanın durumu

  • AT&T, bu veri ihlalinden 19 Nisan’da haberdar oldu ve mart ayında açıkladığı önceki güvenlik olayıyla bağlantılı olmadığını belirtti
  • En güncel müşteri kayıtlarının, Snowflake müşterilerini hedef alan son veri hırsızlığı dalgası kapsamında Snowflake’ten çalındığı doğrulandı
    • Snowflake, kurumsal müşterilerin bulutta büyük miktarda müşteri verisini analiz etmesini sağlayan bir hizmet
    • AT&T’nin müşteri verilerini Snowflake’te neden sakladığı açıklanmadı
  • Son haftalarda Ticketmaster ve LendingTree iştiraki QuoteWizard da verilerinin Snowflake’ten çalındığını doğruladı
  • Snowflake, hesap korumasında çok faktörlü kimlik doğrulama kullanmayan müşterileri veri hırsızlığından sorumlu görüyor
    • Snowflake, bu güvenlik özelliğini müşterilerine zorunlu kılmamış veya şart koşmamıştı
    • Snowflake’in müşteri bildirimlerine destek için çağırdığı Mandiant, yaklaşık 165 Snowflake müşteri hesabından kayda değer miktarda veri çalındığını doğruladı
  • Mandiant, bu ihlali UNC5537 olarak izlenen, henüz sınıflandırılmamış bir siber suç grubuna atfediyor
    • Bu hacker’ların finansal motivasyona sahip olduğu değerlendiriliyor
    • Üyeleri Kuzey Amerika’da bulunuyor; en az 1 üye Türkiye’de
  • Snowflake hesap hırsızlığının bazı kurumsal kurbanlarına ait veriler bilinen siber suç forumlarında yayımlandı, ancak AT&T kendi verilerinin şu anda kamuya açık şekilde erişilebilir olduğunu düşünmüyor
  • AT&T, ilgili siber suçluların yakalanması için kolluk kuvvetleriyle iş birliği yapıyor; en az 1 kişi tutuklandı
    • Tutuklanan kişi AT&T çalışanı değil
    • FBI bu tutuklama hakkında yorum yapmadı
  • FBI, AT&T’nin ihlali bildirmesinin ardından AT&T, FBI ve Adalet Bakanlığı’nın müşteri ve kamuoyu bildirimini iki kez ertelemeyi kabul ettiğini doğruladı
    • Gerekçe, ulusal güvenlik ve kamu güvenliği açısından olası risklerdi
    • Üç kurum, erteleme süreci boyunca tehdit istihbaratı paylaşarak FBI soruşturmasını ve AT&T’nin olay müdahalesini destekledi
  • Bu olay, AT&T’nin bu yıl açıkladığı ikinci güvenlik olayı
    • Daha önce müşteri hesap bilgileri önbelleğinin bir siber suç forumunda yayımlanmasının ardından AT&T, milyonlarca müşterinin hesap parolalarını sıfırlamak zorunda kalmıştı
    • O dönemdeki önbellekte AT&T müşteri hesaplarına erişim için kullanılan şifrelenmiş passcode’lar yer alıyordu; güvenlik araştırmacıları bu passcode’ların kolayca çözülebileceğini değerlendirmişti

1 yorum

 
GN⁺ 2024-07-13
Hacker News yorumları
  • AT&T’nin 110 milyon müşterisi var; bu ihlal yüzünden her müşteri hesap yönetimine sadece 1 dakika daha harcasa bile toplamda 209 yıldan fazla zaman yok olmuş oluyor.
    Veri ihlallerine ilişkin yasalar çok daha sert olmalı. İhlallerin gerçek anlamda çok az sonucu olursa şirketler veri güvenliğine yalnızca asgari düzeyde yatırım yapar.
    Ya tüzel kişilik perdesini kaldırıp ihmaliyle bunun olmasına yol açan kişileri ceza davasıyla yargılamak ya da yönetimi ve hissedarları gerçekten etkileyecek kadar büyük para cezaları kesmek gerekir.

    • AT&T gibi şirketlerin bu tür verileri eğlencesine toplamadığını kimsenin belirtmemesi şaşırtıcı. Bu çok maliyetli, ama devlet bunu yasal olarak istediği için yapılıyor.
      Herkes şirketi suçluyor, ama devletin tüm arama faaliyetlerimin kaydına sahip olmasını normal karşılamanın tuhaf olup olmadığını hiç düşündünüz mü? Eskiden buna distopik gözetim devleti denirdi.
    • Gerçekten bir şeyleri düzeltmenin tek yolu hissedarlara darbe vurmak. Zenginler para kaybedip C-seviyesi yöneticiler ve yönetim kurulu sorumlulukla yüzleşene kadar birbirlerinin sırtını sıvazlayıp bonuslarını almaya devam edecekler.
    • “Bunun olmasına yol açan ihmal”in faili muhtemelen sıradan bir operasyon çalışanıdır. Ne dilediğinize dikkat edin.
      Bilmediğim bir zafiyet yüzünden yazılımım ele geçirildi diye yasal sorumluluk taşımak istemem.
      Makul bir ilk adım, veri güvenliği için üçüncü taraf standartları, denetimleri ve sertifikaları oluşturmak ve gizliliğe/güvenliğe önem veren tüketicilerin şirketin ne yaptığını bilmesini sağlamak olabilir. Tüketiciler bunda değer görürse o şirketi daha çok tercih eder, diğer şirketler de onu izleyebilir.
    • Bu tür ihlalleri önleyecek yasa, telekom şirketlerinin müşteri verilerini satmasını yasa dışı kılan yasa olurdu. AT&T’nin tüm verileri Snowflake’e koymasının nedeni müşterilerin konumlarını ve sosyal ilişki ağlarını pazarlamacılara satmaktı.
      Bunun hâlâ yasa dışı olmamasını aklım almıyor.
    • Bir veri ihlaline uğrarsanız 10 yıl boyunca o tür verileri toplamak bir yana, saklayamaz veya satamazsınız; ayrıca bu kuralın veri toplamayı zorunlu kılan yasalardan üstün olduğu bir dünya hayal edin.
      AT&T bir gecede neredeyse uçtan uca şifreli bir hizmete dönüşürdü.
      Hattın kendisi şifreli olmayacağı için NSA hâlâ dinleme yapardı, ama en azından AT&T veri merkezlerinde önyükleme sürücüleri, SMS mesaj kuyrukları ve onaylı SIM ile telefon numarası eşlemeleri dışında değiştirilebilir depolama sıfır olabilirdi.
      Günümüzde arama kayıtlarını neden tutmaya devam ettiklerini bilmiyorum. Başlangıçtaki amacı olan faturalandırma için bile artık gerekli değil.
  • “Snowflake bulut veri sağlayıcısının 160’tan fazla müşterisini ilgilendiren, hâlâ devam eden veri ihlali” söz konusuysa, Snowflake’in normalde AT&T verilerinin tamamıyla ne yaptığını merak ediyorum. “Pazarlama ortaklarına” yeniden mi dağıtıyor? Öyle görünüyor.
    Snowflake web sitesindeki misyon ifadesi şöyle: “Misyonumuz veri silolarını yıkmak, karmaşıklığın üstesinden gelmek ve yayıncılar, reklamverenler ve onları destekleyen temel teknolojiler arasında güvenli veri iş birliğini mümkün kılmaktır.”
    O zaman bu, AT&T’nin operasyon sistemlerinin ele geçirilmesi değil; zaten pazarlamacılara satılmakta olan verilerin yetkisiz biri tarafından alınması gibi görünüyor. Bu anlayış doğru mu, merak ediyorum.

    • Salesforce gibi bir yerin ihlal edilmesi ve büyük müşterilerinin etkilenmesi durumundan pek farklı olmayabilir. Büyük şirketler arka ofis işlerinin önemli bir kısmında SaaS hizmetleri kullanıyor.
    • Snowflake esas olarak OLAP için bulut veritabanıdır. AT&T hesabı kötü bir parola ve çok faktörlü kimlik doğrulamanın olmamasıyla korunuyordu.
    • AT&T, Snowflake’i iç analiz için kullanıyor olabilir.
    • Öyleyse AT&T’nin en çok bu veriler karşılığında para alamamış olmasına kızmış olması muhtemel.
  • Bu ihlale ve Snowflake veri gölündeki verilerin niteliğine bakınca, müşteri açısından bu olayı “sızıntı” olarak görmeyeceğimi düşünüyorum. Asıl sızıntı bunun daha üst akışında zaten gerçekleşmişti.
    Veritabanındaki verilerin niteliği ve depolandığı platform düşünüldüğünde, bu verilerin AT&T’nin iç kullanımı için değil; reklamverenler veya tüketici analitiği ortakları gibi üçüncü taraflar ya da devlet kurumları tarafından dışarıdan kullanılmak üzere hazırlanmış olma ihtimali çok yüksek görünüyor.
    Yani benim verilerim bu depoda olsaydı, depoya girdiği anda zaten “sızmış” sayardım. Buradaki sorun, AT&T ve FBI açısından yanlış kişilere sızmış olması gibi görünüyor.

    • Ayrım gözetmeyen veri toplamanın ve Snowflake tarzı veritabanlarının sorunu şu: İnternete herhangi bir kişisel bilgi girdiğiniz anda güvenli değildir. Yeterli zaman geçince tüm bu bilgiler “paylaşılır” ve üçüncü tarafların finansal ya da siyasi çıkarları için kullanılır.
      AT&T, banka veya devlet fark etmez. Hassas bilgilerin gizli kalacağını hiçbir durumda bekleyemezsiniz.
      Eskiden çocuklara interneti tanıtırken bunu neredeyse mutlak bir ilke gibi öğretirdik; 20 yılda ne kadar çok şeyin değiştiği şaşırtıcı.
    • Snowflake verileri doğrulamaktan çok yutup satmaya hevesli olduğu için, AT&T müşterilerinin çocuk cinsel istismar materyalini alenen kaç kez ilettiğini merak ediyorum.
  • AT&T hissesi bu sabahki ilk %2,6 düşüşten şimdiden epey toparlandı; demek ki piyasa AT&T’nin bağışık olduğunu düşünüyor. Buna karşılık Snowflake %3,9 düşüşte ve AT&T dışında da çok müşterisi var.
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • Piyasanın veri ihlallerini umursadığı izlenimini hiç edinmedim. Çoğu şirketin veri ihlallerinden finansal olarak sorumlu tutulması da nadir gibi görünüyor.
      Hisse fiyatında görünen bir etki varsa bunun bu haberle ilgisiz olma ihtimalinin yüksek olduğunu düşünüyorum.
    • Verileri Salesforce’a koyup Salesforce’un ihlal edilmesine benziyor. Yanlış tedarikçiyi seçmenin sorumluluğu olabilir, ama asıl güven kaybı Salesforce tarafında olur.
      Bu durumda, habere göre Ticketmaster ve Lending Tree ihlallerinin nedeni de Snowflake olduğuna göre, şu anda Snowflake’e duyulan güvenin ciddi biçimde sarsılması anlaşılır.
    • Maliyet büyük bir sorun değil ve müşteriler de başka yere gitmeyecek.
      Toplu dava sonucu, kişi başı 2 dolar almak yerine 2000’lerin başındaki zil sesi ek hizmeti için ücretsiz deneme kuponuna dönüşür; sonunda da sadece tekrar eden gelir artar gibi geliyor.
  • Avrupa’da, operasyon için gerekli kapsamın ötesinde telefon kayıtlarını kapsamlı şekilde saklamak birçok ülkede yasa dışı olurdu; genel olarak da ulusal güvenliğe yönelik gerçek bir tehdit ve mahkeme denetimi altındaki geçici bir önlem söz konusu değilse Avrupa İnsan Hakları Sözleşmesi ile uyumlu değildir[1]
    Hizmet sağlayıcının en başta böyle şeyleri saklaması için bir neden yok; bunu mevzuatla düzeltmek de zor değil. Saklamanın kendisini yasa dışı yapmak yeterli
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • Aksine, birçok Avrupa ülkesinde zorunlu veri saklama süreleri var ve bunlar çoğu zaman bu sızıntıda yer aldığı söylenen 6 aylık kayıt süresiyle aynı ya da daha uzun
      Almanya nispeten kısa tarafta; 10 hafta, ama yine de bu tür kayıtların tutulması gerekiyor
      Avrupa’da bu tür kayıtların toplanmasının yasa dışı olduğu iddiası açıkça yanlış; dahası kayıt toplama genellikle ülke bazında belirlenen süre boyunca zorunlu
      Faturalandırma için telefon kayıtlarına ihtiyaç var. Müşterilerin faturaya itiraz etmesi yaygın olduğundan bir süre daha saklamak da gerekiyor
    • Saklamak için birçok neden var. Sadece çoğu, insanların şirketlerin nasıl işletilmesi gerektiğini düşündüğü biçimin tersine düşüyor
      Ne yazık ki ABD, müşteri korumasından çok “yıkıcı inovasyona” değer veriyor gibi görünüyor; bu yüzden verilerin yasal koruması Kongre’de popüler değil
    • Hükümetin telekom operatörlerine tüm telefon kayıtlarını bu şekilde saklamalarını emretmesine izin verilmediğini sanıyordum. Ancak operatörlerin bunu kendi başlarına yapmasını engelleyemiyor gibi görünüyor
      Bu daha çok GDPR kısıtlamalarına takılacak bir konu gibi geliyor
    • Görünüşe göre halk için var olan bir hükümetin olduğu yerde yaşıyorsunuz. Kendi için var olan bir hükümet değil
    • NSA ne isterse NSA onu alır. Sistem amaçlandığı gibi çalışıyorsa ayrı bir mevzuata gerek yok
  • Tüketiciler veri sızıntılarına o kadar duyarsızlaştı ki artık böyle olaylar karşısında neredeyse hiç öfke oluşmuyor. Tüketici öfkesi yoksa şirketlerin veri sızıntılarını önlemek için daha fazla çaba göstermesi için pek teşvik olmadığını düşünüyorum

    • Artık veri gizliliği diye bir şeyin kalmadığını hissetmeye başlıyorum. Günümüzde büyük müşteri veritabanlarının yöneticileri neden parola belirleme zahmetine giriyor, onu bile bilmiyorum
    • Equifax olayından sonra kimse umursamıyor gibi. İsim, adres, telefon numarası gibi sıradan bilgiler değil, işin çekirdeğindeki verilerin açığa çıktığı büyük bir B2B sızıntısı olmalı ki ciddi bir olay olarak görülsün
    • AT&T halka açık bir şirket. Halka açık şirketler buna uygun şekilde para cezası ödemeli
      Bu tür sızıntılara milyarlarca dolarlık cezalar kesilmeye başlanırsa şirketler birden güvenliğe yatırım yapmaya başlar
      Ancak son Yüksek Mahkeme kararıyla kamu kurumlarının gücü zayıfladığı için bunun mümkün olacağını sanmıyorum
      Artık para cezası için medeni mahkemelere, yani toplu davalara bel bağlamak gerekecek gibi
    • Birçok şirket, siber güvenlik ekiplerine para akıtarak bu sorunu çözebileceğini düşünüyor gibi. Oysa siber güvenlik ekipleri çoğu zaman etkili değil
    • Biz öfkeliyken de neden hiçbir şey yapmadık, bilmiyorum
  • AT&T hesabımı 10 yıldan da uzun süre önce kapatmıştım; bu yıl marttaki önceki saldırıda hâlâ eski adresimi, tam adımı ve Sosyal Güvenlik numaramı sakladıkları ortaya çıktı
    Beceriksiz kuruluşları gerçekten cezalandıracak düzgün bir yasa olmaması gerçekten akıl almaz

  • Bu yılın başlarında da AT&T ya da tedarikçilerinden birinin sızıntısı yüzünden Sosyal Güvenlik numaram dark web’e düştü. 1 yıllık izleme yetmez. Ömür boyu gerekli
    Güvenlik umurlarında değil. Mevcut durumu değiştirecek gerçek bir teşvik yok. Bu şirketlere süresiz izleme maliyetini ödetmek gerekiyor

    • ABD’de Sosyal Güvenlik numarasının sır gibi ele alınmasını anlamıyorum. Bu bir “parola” değil, “kullanıcı adı” olmalı
      Bizim ülkedeki ulusal kimlik numarası; doğum tarihi, o gün doğanlar arasındaki artan sıra numarası ve sağlama toplamı rakamıyla hesaplanabiliyor; biraz bile şahıs işletmesi yaparsanız kişisel vergi numaranızı tüm makbuzlara veya iş amaçlı satın alma belgelerine yazmanız gerekiyor
      Bugün ilk doğan erkek çocuğun kimlik numarasının 120702450001X olduğunu bilmek kötü bir işe yaramaz. Sağlama toplamını hesaplamaya üşendim ama algoritma herkese açık
    • Bazı durumlarda sızan bilgiler arasında Sosyal Güvenlik numarası en küçük sorun bile olabilir
      İntiharı önleme hattını, kürtaj kliniğini, kredi geri ödeme hizmetlerini arayanlara ne olacağını düşünmek gerek
      Telefon numarası varsa bu tür şeyler öğrenilebilir
    • 1980’lerin sonunda üniversiteye gittiğimde Sosyal Güvenlik numaram otomatik olarak öğrenci kimlik numaram olarak kullanılıyordu. 1990’da ilk banka hesabımı açtığımda Sosyal Güvenlik numaram hesap numarası olarak kullanılmıştı
    • Sosyal Güvenlik Kurumu’nun kendisi sürdürülebilir olmadığı için önümüzdeki 10 yıl içinde çökerse bu artık sorun olmaktan çıkacak
  • TechCrunch makalesine göre baz istasyonu tanımlayıcıları da dahil edilmiş; bu da yaklaşık konum bilgisinin de dahil olduğu anlamına geliyor
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • Peki benim tazminatım nerede, bilmiyorum. Elbette bir giderim yolu olmadığını biliyorum
    Devasa müşteri kişisel verisi içeren veri depolarında çok faktörlü kimlik doğrulamayı açmak gibi güvenli uygulamalardan kimse sorumlu tutulmazsa sonuç bu olur
    Bir özür bile olmadan raporlayıp geçiyorlar. “Hay aksi, şu lanet siber suçlular” seviyesinde kalıyor

    • Mahkemeye gidip tazminat isterseniz muhtemelen zararı kanıtlamanızı isteyecekler. Kanıtlayabilecek misiniz?
    • Bu tür işlerden birkaç kez çek aldığım oldu. Sonunda talep formunu dolduruyorsunuz, yaklaşık 5 yıl bekliyorsunuz ve bir gün postayla çok küçük tutarlı bir çek geliyor