Columbus şehri, siber saldırının boyutunu ortaya çıkaran uzmanı dava ediyor

 (10tv.com)
1 puan yazan GN⁺ 2024-09-01 | 1 yorum | WhatsApp'ta paylaş

  • Yerel mahkeme, şehrin veri sızıntısını ortaya çıkaran siber güvenlik uzmanına yönelik uzaklaştırma emrini onayladı

    • Franklin County yargıcı, geçen ay şehrin siber saldırısında sızdırılan bilgilerin türünü ve miktarını açıklayan siber güvenlik uzmanı Connor Goodwolf hakkında geçici uzaklaştırma emrini onayladı
    • Goodwolf, son birkaç haftadır 10TV ve diğer medya kuruluşlarına verdiği röportajlarda dark web'de hangi bilgilerin bulunduğunu ayrıntılı şekilde anlattı

  • Şehrin siber saldırı süreci

    • Şehir, 18 Temmuz'da teknoloji departmanında sistem anormallikleri tespit edilmesinin ardından internet bağlantısını kesti
    • İki hafta sonra hacker grubu Rhysida, saldırıyı kendilerinin gerçekleştirdiğini iddia ederek 6.5 terabayt veriye sahip olduğunu duyurdu
    • Rhysida daha sonra şehirden çaldığı verilerin %45'ini yayımladı

  • Veri sızıntısının etkisi

    • 13 Ağustos'ta Belediye Başkanı Andrew Ginther, hackerların ele geçirdiği verilerin bozulduğunu veya şifrelendiğini ve bu nedenle işe yaramaz olduğunu açıkladı
    • Ancak Goodwolf, 10TV ile yaptığı röportajda bu iddianın doğru olmadığını söyleyerek erişebildiği kişisel bilgileri gösterdi
    • Goodwolf ayrıca yakın zamanda Columbus polisinin suç matrisi verisinin indirilebilir durumda olduğunu belirtti. Bu veritabanı, son 10 yıla ait polis raporlarından tanık, mağdur ve şüpheli bilgilerini içeriyor

  • Uzaklaştırma emri ve dava

    • Şehir, Goodwolf hakkında geçici uzaklaştırma emri talep etti ve onay aldı. Şehir en az $25,000 tazminat istiyor; toplam tutar davada belirlenecek
    • Mahkeme, Goodwolf'a şehre ait çalınmış verilere erişmeyi, bunları indirmeyi ve dağıtmayı durdurma emri verdi
    • Şehir, Goodwolf'un "geri döndürülemez zarar" ve "merkezi Ohio bölgesi genelinde yaygın endişe" yarattığını öne sürüyor

  • Şehrin tutumu

    • Şehir avukatı Zach Klein, bu davanın Goodwolf'un ifade özgürlüğünü bastırmaya yönelik olmadığını vurguladı
    • Klein, bu adımın suç soruşturmalarını tehdit eden verilerin yayılmasını engellemek amacı taşıdığını açıkladı
    • Klein, polis memurlarını, mağdurları ve tanıkları korumaya çalıştıklarını, Goodwolf'un indirip paylaştığı bilgilerin kamu güvenliği açısından tehdit oluşturduğunu savundu

  • Goodwolf'un planı

    • Goodwolf, kurduğu bir web sitesi üzerinden şehrin çalınan verilerini yayımlamayı planladığını söyledi. Ancak bu sitenin yalnızca insanların kendi adlarının veri sızıntısında yer alıp almadığını kontrol edebilmesi için kullanılacağını öne sürdü

  • Şehrin tepkisi

    • Klein'ın ofisi, yargıcın kararına saygı duyduklarını ve bunun çalınmış gizli personel ile mağdur verilerinin yayılmasını önlemeye yönelik olumlu bir adım olduğunu açıkladı
    • Şehir, Goodwolf'a karşı suç teşkil eden fiilden doğan zarar, mahremiyetin ihlali, ihmal ve hukuka aykırı zilyetlikten yoksun bırakma dahil dört ayrı talepte bulundu
    • Nihai duruşma öncesi oturum 18 Eylül 2025 için planlandı

GN⁺ Özeti

  • Bu olay, şehrin veri sızıntısıyla ilgili önemli bilgileri açıklayan bir siber güvenlik uzmanına karşı başlatılan hukuki süreci ele alıyor
  • Goodwolf, şehrin açıklamasının aksine hackerların çaldığı verilerin kullanılabilir olduğunu ortaya koyarak tartışma yarattı
  • Şehir, Goodwolf'un eylemlerinin kamu güvenliği için tehdit oluşturduğunu savunarak hukuki adım attı
  • Olay, veri sızıntılarıyla ilgili hukuki ve etik sorunları yeniden gündeme getirirken veri güvenliğinin önemini vurguluyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-01
Hacker News görüşleri

  • Eski bir pentester olarak Goodwolf’a empati duyuyorum, ancak gerçek verileri yayımlamak neredeyse her zaman kötü bir fikirdir

    • Bug bounty programlarının sınırlı bir kapsama sahip olmasının nedeni de budur
    • Görünüşe göre şehir, Goodwolf’un devam eden soruşturma ve gizli polis raporlarına ilişkin verileri paylaşmasına öfkelenmiş
    • Verileri alıp başka insanlara iletmek açıkça iyi bir fikir değil
    • Gazetecilere verilerin var olduğunu ve indirilebilir olduğunu kanıtlamak için, verilere erişmeden de yapılabilecek pek çok yol vardı: forum gönderilerinin ekran görüntüsünü almak, linkleri gazetecilere göndermek ya da veri türlerini açıklamak gibi
    • Eğer bunu yaptıysa ve şehir yine de bu şekilde tepki veriyorsa, bu açıkça kötüye kullanımdır
    • Devam eden bir soruşturmaya ilişkin verileri gazetecilere yaymamasını emretmek mantıksız değil
    • Hiç kimse kişisel bir olayın daha geniş çapta yayılmasını istemez
    • Bu hata kolayca yapılabileceği için ona güçlü biçimde empati duyuyorum
    • Sektöre girmeden önce bunun white-hat hacking olduğunu sanıyordum
    • Bir ihlale dair farkındalık yaratmak kesinlikle iyi bir şey, ancak bunun nasıl yapıldığı gerçekten önemli
    • 2016’da yaklaşık 1 yıl bu sektörde çalıştım, ama bugün bile ihlal edilmiş gerçek verilerin dağıtılmasının pentester olarak çalışan herhangi biri için kabul edilebilir olacağını düşünmüyorum

  • Goodwolf kendi web sitesini kurup şehrin çalınan verilerini ifşa etmekle tehdit ediyor

    • Goodwolf, 10TV’ye kendi web sitesini kurmayı planladığını, ancak insanların isimlerinin veri ihlaline dahil olup olmadığını kontrol edebileceğini söyledi
    • Bu, şifrenizin sızdırılıp sızdırılmadığını kontrol eden bir site kurmaktan farklı
    • Birinin adını girip o kişinin bir suç soruşturmasında tanık olup olmadığını öğrenmeyi mümkün kılabilir
    • Klein, "Bu bir ifade meselesi değil; klavyeyle dark web’e girip bilgi toplama, bunu bilgisayara indirme ve ardından basına ya da başkalarına dağıtma şeklindeki fiili eylemlerle ilgili" dedi

  • Mesele, şehrin verileri koruyamadığı halde kamuoyuna yalan söylemiş olması

    • Araştırmacılar yalnızca Columbus, OH’nin güvenlik sistemlerinin ne kadar kötü olduğunu gösteriyor
    • 13 Ağustos’ta Belediye Başkanı Andrew Ginther, hackerların çaldığı verilerin bozulmuş ya da şifrelenmiş olduğu için büyük olasılıkla kullanılamaz olduğunu söyledi
    • Saatler sonra Goodwolf bunun doğru olmadığını gösterdi ve erişebildiği kişisel bilgi türlerini sergiledi
    • Şehrin tüm üst yönetimi görevden alınmalı
    • Güvenliksiz halde yakalanıp kamuoyuna yalan söylediler, sonra da yalanları haklı olarak ortaya konunca bu aptal davayla ortalığı daha da alevlendirdiler
    • Paniğe kapılan şehir yönetimi, şehrin ne kadar dağınık olduğunu herkese duyuran can sıkıcı kişiye dava açıyor
    • İfşa edilen bilgilerin içeriğini inceleyen güvenlik araştırmacılarına dava açmak kimseyi korumaz
    • Bu, EFF ya da ACLU’nun bu aptalca ve silah haline getirilmiş tedbir kararına karşı savunmaya yardımcı olması için biçilmiş kaftan bir vaka

  • Columbus’ta uzun yıllar yaşadım

    • Bu kesinlikle doğru
    • Kırmızı bir eyaletteki mavi bir şehrin kendini koruma konusunda fazlasıyla cüretkâr hale gelmesinde bir şey var

  • Listeye ekleyin:

    • Hacking syndicate: dava edilmiyor
    • Hacklenmiş kayıtları barındıran herkese açık web sitesi: dava edilmiyor
    • Yalan söyleyen kamu görevlileri: dava edilmiyor
    • Bu üçünü işaret eden sıradan biri: dava ediliyor