Dünyada kullanımı gittikçe artan ve tartışmalı hale gelen yüz tanıma teknolojileri beraberinde getirdiği insan hakları sorunlarıyla sık sık gündeme geliyor. Fakat ABD’den gelen son haber genellikle güvelik sektörü için kullanılan ve kolluk kuvvetleri tarafından yoğun rağbet gören yüz tanıma teknolojilerinin siber güvenlik problemlerini de beraberinde getirdiğini doğruluyor.
Yüz tanıma teknolojisi sunan Clearview AI şirketinin, polis, kolluk kuvvetleri ve bankaları da içeren müşteri listesi internet korsanları tarafından ele geçirildi. Firma yetkilileri sorunu giderdiklerini, şimdiye kadar internet ortamından 3 milyardan fazla görüntünün erişimini engellediklerini belirtti
ABD’nin önde gelen yüz tanıma teknolojisi firması “Clearview AI”, tüm müşteri listesinin bilgisayar korsanları tarafından çalındığını, ancak kısa süre içinde sorunu giderdiklerini açıkladı.
Geçtiğimiz ay New York Times’ın ortaya çıkardığı bilgiye göre, şirket sosyal medya hesaplarındaki milyarlarca fotoğrafı tarayarak kendi veritabanına aktarmıştı. Bu verileri işleyerek polis güçlerine suçluların bulunmasında yardımcı olduğunu belirten şirkete karşı haberden sonra bazı aksiyonlar alınmıştı. Sosyal medya platformları Clearview AI ile iş birliğinde kısıtlamaya giderken bazı eyaletler de şirket ile antlaşmalarını sona erdirme kararı almıştı.
‘SUNUCULARIMIZA ERİŞİLMEDİ’
Clearview AI’nın avukatı Tor Ekeland, yaptığı açıklamada, güvenlik konusunun şirketin en büyük önceliği olduğunu belirterek, söz konusu ihlale karşı en hızlı şekilde tedbir aldıklarını belirtti.
Saldırganların şirketin müşteri listesi, her bir müşterinin kaç hesaba sahip olduğu ve kaç arama yaptığı bilgilerini çaldığı bildirildi.
Ekeland, “Ne yazık ki veri ihlalleri hayatın bir parçası. Sunucularımıza asla erişilmedi. Şirketin güvenlik prosedürlerini güçlendirmeye devam ediyoruz. Söz konusu güvenlik açığı da engellenmiş durumda.” ifadelerini kullandı.
Clearview AI, müşterilerine gönderdiği bildirimde, internet korsanlarının polis güçleri, kolluk kuvvetleri ve bankaları da içeren müşteri listesine yetkisiz erişim sağladığına dair bilgilendirmede bulundu.
AA’nın haberine göre; bilinmeyen kişilerin ele geçirdiği görsellerin internette yayılmasını engellemek için harekete geçen teknoloji şirketi, Facebook, Instagram, Twitter ve YouTube gibi popüler sosyal medya platformlarından fotoğraflar da dahil olmak üzere internetten 3 milyardan fazla görseli çıkardığını bildirdi.
Clearview AI’ın teknolojisinin, yüz tanımlaması için kullanıcıların internet ortamındaki kişisel görsellerinin güvenlik güçleri tarafından kullanılmasına izin vermesi geçen ay tartışmalara yol açmıştı.
Şirketin, internet hesaplarını kapatmaları veya hesaplarını özelleştirmelerine rağmen kullanıcıların fotoğraf ve kişisel bilgilerini kendi bilgi bankasından silmediği açığa çıkmış ve kamuoyu bu duruma tepki göstermişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Dünya genelinde yaşanan 10 bin veri hırsızlığından toplanana 12 milyar kaydın kullanıcılar tarafından taranabildiği www.weleakinfo.com ABD tarafından kişisel veri hırsızlığını kolaylaştırabileceği gerekçesiyle kapatıldı. Olayla ilgili biri Kuzey İrlanda’da diğer Hollanda da olmak üzere 22 yaşında olan iki kişi tutuklandı.
weleakinfo.com kullanıcılara verilerinin çalınıp çalınmadığını sorgulayabilecekleri arama motoru hizmeti sunuyordu. 2017 yılında kurulan sitenin farklı abonelik sistemleri bulunuyordu. Dolandırıcıların paralı abonelik ile tüm veri tabanında arama yapabilmelerinin mümkün olması sitenin kapanma nedenleri arasında sayılıyor.
FBI’ın yanı sıra İngiliz ve Alman kolluk kuvvetlerinin de operasyona dahil olduğu açıklandı. Sitenin açılış sayfasına bu resim konuldu:
Sitenin hizmetleri arasında abonelere ait bir verinin çalınması ve veri tabanına yüklenmesi durumunda aboneye bildirim gönderilmesi de bulunuyordu.
HaveIBeenPwned ile farkı nedir?
Weleakinfo.com ve benzeri sitelerin yaptığı işlemin bir kısmını legal olarak HaveIBeenPwned sitesi yapıyor. Aradaki fark ise HaveIBeenPwned sitesi sadece e-posta adreslerinin ellerindeki çalınan veri tabanlarına dahil edilip edilmediği bilgisini kullanıcıya vermesi. Oysa diğer siteler abonelik sistemlerine göre diğer kişisel bilgileri de aboneleriyle para karşılığında paylaşabiliyor.
2017’de FBI benzer bilgileri barındıran ve satan LeakedSource sitesini kapatmıştı.
Benzer bilgilerin sorgulanabileceği ortamlar çeşitli dark web sitelerinde de bulunuyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Şirketinizin bir siber saldırının kurbanı olması nasıl bir his? Şirketinizin daha fazla zarar görmemesi için neler yapmanız gerekir? Fidye ödemeniz gerekir mi? Siber güvenlik şirketi Forcepoint, gerçek hayatta yaşanmış birçok deneyimden yola çıkarak bir siber saldırı tatbikatı gerçekleştirdi. İngiliz haber kanalı BBC de bu senaryoyu sayfalarına taşıdı. İşte adım adım bir siber saldırıyı püskürtme girişimi hikâyesi:
Senaryo:
Blink Wink adılı hayali bir gözlükçünün (optik firmasının) bilgi teknolojileri çalışanları bir e-dolandırıcılık e-postasıyla oltaya geliyorlar. Çalışanlardan biri, yasal olduğunu düşündüğü bir e-postaya tıklayarak e-postanın yönlendirdiği kurmaca bir web sitesine ulaşır. Fakat bu internet sitesi yasal değildir. Bu olay iki ay önce yaşanmıştır. Bugün ise bir skandala dönüşür…
Salı – 08:30
Blink Wink’in bilgi teknolojileri yöneticisi, güne şirketin müşterilere açık e-posta kutusunu standart spam ve gereksiz e-postalardan temizleyerek başlamıştır. İçerinden biri dikkatini çeker. Midesine sancılar girmeye başlar…
Zira e-postada şunlar yazmaktadır: “Elimde bunlardan çok daha fazlası var. Kısa bir süre sonra isteklerimizle yeniden karşınızda olacağız.” Yazı bir müşterinin adı, soyadı, kredi kartı bilgileri ve e-posta adresinin hemen altında yazmaktadır.
Tony ilk önce bunun bir oyun ya da şaka olduğunu umut eder; fakat risk de alamaz. Zar zor yutkunarak firmanın güvenlik sorumlusu Doug Hughes’u arar. Doug New York’ta tatildedir ve saat de gece yarısı 3,30’dur. Tony şüpheli e-postayı Doug’a yönlendirir. Doug, “Kredi kartı numarasını doğruladık mı? Kart sahibi müşterilerimizden bir mi?” diye sorar. Tony henüz bilmediğini söyler. Doug bu kez e-postanın kaçta geldiğini sorar. Tony düşündükten sonra, “Sanırım dün biz işten çıktıktan hemen sonra geldi, bu yüzden sabaha kadar fark etmedim” diye cevap verir. “En az 12 saati var o halde” diye yanıtlar Doug.
Salı – 13:30
Tony, Doug’a ikinci bir e-posta aldıklarını ve gönderenlerin 15 bin Euro’luk fidye istediklerini ve bunu Litecoin adlı kripto para birimi ile ödenmesini istediklerini aktarır. Ve devam eder: “İngiltere saati ile 22.00’ye kadar parayı ödememiz gerektiğini yazmışlar. Aksi takdirde bütün müşteri kayıtlarımızı sileceklermiş.”
Doug, “Ne?” diye haykırır ve devam eder: “Ben ellerinde sadece bir müşterinin bilgileri var sanıyordum” Tony, şantajcıların tüm müşterilerin bilgilerine sahip oldukları iddiasını aktarır.
Doug acilen Blink Wink’in hukuk danışmanı Grace Bolton’ı arar. Grace’in sesi kesik kesik gelmektedir. “Bu açık bir potansiyel güvenlik ihlali. Cevap vermeyin. Mevcut kanunları gözden geçirmek için zaman ihtiyacım var. Böylece nerede durduğumuzu bilebiliriz” der. Doug polisi aramaktan bahseder. Ya da enformasyon komiserini ya da Avrupa Birliği Veri Koruma Yönergesi?
Salı – 15:30
Blink Wink için işler kontrolden çıkmaya başlamıştır. Hackerler bazı müşterilerin isimlerini ve kredi kartı bilgilerini Pastebin’de yayınladıklarına dair görüntü atmışlardır. Pastebin, kullanıcıların bilgisayarlarındaki bir yazı, makale ya da kodu uzaktaki arkadaşları ile online olarak paylaşmasını sağlayan bir platform. Doug artık bilgilerin doğruluğunu teyit etmiştir. Tony web sitesini kapatmayı teklif eder, böylece riski azaltacaklarını düşünür.
Grace araya girer: “Bunu yapmadan önce kime söylememiz gerekir? Veri ihlali politikamız tam olarak nedir?” Doug ise bunun yasal olduğunu söyler. Gracei, Tony’ya, “Veri koruma yetkilisi sen değil misin?” diye sorar. Tony, “Yok, değilim” der. Doug’un ümitsiz bir halde sorar: “Nasıl yani ben miyim? Neyse, siteyi kapatırsak bu dikkatleri daha fazla üzerimize çekmez mi? Bunun iyi bir fikir olduğundan emin değilim.”
Grace, Doug ile aynı fikirdedir.
Blink Wink’in Halkla İlişkiler Müdürü Sandra Ellis araya girer ve durumun hiç de iç açıcı olmadığını ifade eder: “Müşterilerimizin kişisel bilgilerini korumakta başarısız olduk. Bunun sonuçları ağır olabilir.” Bu arada Ellis’in aklına firmanın “bir alana bir bedava” kampanyası gelir ve kampanya dolayısıyla web sitesine çok sayıda insanın giriş yaptığını düşünerek sorar: “Onların da bilgileri çalınmış mıdır?” Doug büyük olasılıkla çalınmış olabileceğini söylerken ekler: “Bir şekilde siteyi ya da bir kısmını kapatmalıyız. Ve fidyeyi ödeyip ödememe konusunda karar vermeliyiz.”
Salı – 17:00
Sandra Ellis bir basın açıklaması hazırlar fakat açıklamayı insanlar sorular sormaya başlayana kadar yayınlamamayı önerir. Bir olay yaşadıklarını ve buna karşılık siteyi kapattıklarını söylemeyi teklif eder. Doug düzeltir: “Olay değil, ihlal.” Grace ise olayın dallanıp budaklanmasından endişelenerek bu kelimeyi kullanmamak gerektiği üzerinde durur. Tony telekonferans konuşmasına pat diye dahi olur: “Karantinaya giren bir eposta gelmişti ve neymiş diye kontrol etmeye karar verdi. Bir de eki vardı. Bu olabilir.” Doug sorar: “Ona tıkladığını söyleme lütfen? “ Tony cevap verir: “Ben sadece bunun işleri hızlandıracağını düşünmüştüm.”
Doug küfreder ve başka bir zararın olup olmadığını görüşmek üzere güvenlik ekibi ile iletişime geçer. İngiltere Bilgi Komisyonu Ofisi’ni (ICO) arar. Telefondakilere “İsterseniz telefonla ya da online olarak rapor edebiliriz. Ancak problemi azaltmak için ne yapmamız gerektiğini söylememiz gerekiyor.” Tony olan biteni şu şekilde anlatır: “Pekâlâ, geçtiğimiz yıl tehdit saptama yazılımının son versiyonunu almaya niyetlenmiştik. Fakat bununla ilgilenen çocuk işten ayrıldı ve yerine de kimse alınmadı.”
“Böyle bir şey olmadı. Bunu ICO’ya söylemeyin sakın,” diye bağırır Grace ve ekler: “Mevcutta yeterli denetimimiz olduğunu gösteremezsek başımız belaya girer ve siber sigortacılar ödeme yapmak istemezler.”
Daha sonra Doug, en son gelen e-dolandırıcılık mailinin dikkat dağıtma amaçlı gönderildiğini teyit ederken ekibi bilgilendirir: “İki ay önce gönderilen ve bizim bulut sağlayıcılarımızdan biriymiş gibi görülmesi için yapılan sisteme giriş sayfasına bağlanan bir e-dolandırıcılık maili buldular. Bu şekilde girdiler.” Doug bundan sonra olayları daha iyi bir şekilde ele almak gerektiği sonucuna varır ve ekler: “Bu yine olacak ve daha kötüye gidecek”
Peki Blink Wink ne yapmalıydı?
Forcepoint Baş Mühendisi Richard Ford, geç tepki vermenin Blink Wink’i köşeye sıkıştırdığını düşünüyor. Bu tip durumlarda hızlı hareket edilmesi gerektiğini söyleyen Ford, aksi halde saldırganların istediklerini zorla kabul ettireceklerini ifade ediyor. Ford, veri ihlali yasalarına dair kısıtlı bilgiye sahip olmanın şirketleri korunmasız duruma düşürdüğünü söylerken ekliyor: “Açık bir şekilde bir veri ihlali politikaları yok ve kimin ne yapması gerektiğine dair bir bilgileri de bulunmuyor”
Ford ‘şirket neler yapmalıydı’ sorusunu ise şunları sıralayarak cevap veriyor:
-Adım adım neler yapılması gerektiğine dair bir veri ihlali planı hazırlamalıydılar.
-Bu planı personelle birlikte tatbik etmeliydiler.
-İhlal sırasında kimin neyden sorumlu olduğunu tasarlamış olmalılardı.
– Yöneticilerin durumdan haberdar olmadı için planı düzenli olarak güncellemeliydiler
– Üçüncü tarafları ve tedarikçileri bilgilendirmeliydiler.
– Olayı nasıl ele aldıklarını göstermek için Bilgi Komisyonu’na (ICO) kanıtlar sunmalıydılar.
IBM Güvenlik İş Birimi ve Ponemon Institute, Veri İhlalinin Maliyeti adlı yıllık araştırmasını yayınladı. Bu araştırmada bir veri ihlalinin, Türkiye dâhil olmak üzere on üç ülkedeki ve iki bölgedeki şirketlerin kâr-zarar haneleri üzerinde yaptığı etkinin tamamı incelendi. Türkiye’deki bir veri ihlalinin ortalama toplam maliyeti 9,26 milyon TL olduğu ortaya çıktı.
IBM Güvenlik iş biriminin sponsorluğunda Ponemon Institute tarafından yürütülen çalışma 13 ülkede ve 2 bölgede gerçekleştirildi: ASEAN (Güney Doğu Asya Ülkeleri Birliği), Avustralya, Brezilya, Kanada, Fransa, Almanya, Hindistan, İtalya, Japonya, Güney Afrika, Güney Kore, Orta Doğu (Suudi Arabistan Krallığı ve Birleşik Arap Emirlikleri dahil), Türkiye, Birleşik Krallık ve ABD. Bu yılki araştırmada, geçtiğimiz 12 ay içinde bir veri ihlali yaşamış olan 477 şirketten 2 bin 200 BT, veri koruması ve uyumluluk uzmanıyla mülakatlar yapıldı.
Türkiye’nin ilk kez dâhil olduğu bu araştırmada ihlallerin şirketlere, her bir kayıp ya da çalınan kayıt için kişi başına 451 TL’ye mal olduğu ortaya çıkarıldı. Aynı zamanda Türkiye’deki ihlallerin yüzde 38’inin temel olarak kötü amaçlı veya suç niteliğindeki saldırılardan kaynaklandığı, bunu yüzde 33 oranıyla sistem arızalarının ve yüzde 29 oranıyla insan hatasının izlediği ortaya çıktı.
Bu araştırmada aynı zamanda ihlal maliyetini artıran veya azaltan faktörler de incelendi ve maliyetlerin, bir veri ihlalinin kapsama alınması için harcanan sürenin miktarından ve bunun yanı sıra müdahale süresini azaltan teknolojilere yapılan yatırımlardan büyük ölçüde etkilendiği ortaya çıkarıldı. Türkiye’de, araştırmada bir veri ihlalinin belirlenmesi için gereken ortalama süre 225 gündü ve belirlendiğinde bir veri ihlalini kapsama almak için gereken ortalama süre 86 gündü.
Bir ihlali 30 günden daha kısa sürede kapsama alan şirketler, bu sürenin 30 günden fazla olduğu şirketlere kıyasla 1 milyon ABD Doları tasarruf etti.
Araştırmada aynı zamanda bir veri ihlalinin sektörler üzerindeki etkisi de ortaya kondu. Türkiye’de veri ihlalleri için en pahalı sektörler listesinin başında finans, hizmetler ve teknoloji sektörlerinin yer aldığı ve kuruluşlara kişi başına maliyetin sırasıyla 615 TL, 560 TL ve 558 TL olduğu belirlendi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Siber Güvenlik şirketi UpGuard, Kanadalı bir robotik şirketinde yaşanan güvenlik zafiyetini gündemine taşıdı. Şirketin zayıf güvenlikli sunucusu, Ford, GM, Tesla ve Toyota gibi otomotiv firmalarının 150 GB’lık özel verilerini açığa çıkarmakla kalmadı, kendi personelinin pasaport ve ehliyet taramaları dahil kişisel bilgilerini de sızdırmış oldu. Sızdırılan belgeler arasında ABD’li popüler otomobil firması Tesla’nın gizlilik sözleşmesi bile bulunuyor.
Sonuçtan oldukça üzgün olan Level One Robotics, dosya transferi için, açık kaynak yazılımı olan rsync’yi kullanıyor. Basitçe anlatmak gerekirse, rsync açık kaynak kodlu bir dosya transfer aracı. Uygulamayı iki sunucu arasında dosya aktarımına olanak sağlayan yedekleme diğer adıyla dosya transfer aracı olarak tanımlamak mümkün. Geleneksel kopyalama araçları dosyaların kopyalamasını A sunucusundan B sunucusuna, ihtiyaç duyulan dosyanın B’de zaten var olmasına aldırış etmeksizin rastgele bir şekilde yaparken büyük bir zaman kaybı ve bant aralığına sebep olmakta.
Rsync’nin çalışma prensibi ise şu şekilde:
Transfer aracı, A’dan B’ye hangi yeni dosyaların kopyalanması gerektiğini bilir.
B’deki hangi dosyalara artık ihtiyaç duyulmadığını ve hangilerinin silinmesi gerektiğini bilir.
Yalnızca değişmiş kısımları modifiye ederek, A’daki dosyalarla eşleştirmek için B’deki dosyaların nasıl güncelleneceğini bilir.
Mesela sonuna yeni paragraflar eklenmiş bir metin dosyasında rsync sadece yeni satırları kopyalar. Böylece bağlantının diğer ucunda zaten varolan yığınların kopyalanmasından kaçınılmış olur.
Ancak handikaplar da bulunmakta. Rsync oldukça güçlü bir uygulama ve yanlışlıkla ya da kasten yıkıcı bir hatalı ayarlamaya oldukça yatkın. Bu yüzden rsync sunucularına kimin bağlanma izni olup olmadığı konusu, hayati bir öneme sahip. Mesela karşıdaki bilgisayarın yedeğini izinsiz kullanmak istersek tek yapmamız gereken şey, boş bir dizin ile başlayıp karşı tarafın sunucusuna ‘lütfen beni senkronize et’ demek. Rsync istekte bulunan bizin her bir dosyanın kopyasına ihtiyacımız olduğunu düşünecek ve senkronize talebinde bulunan bizler istediğimizi elde etmiş olacağız.
Maalesef, Level One Robotics verilerinin kimin eline geçebileceğini kontrol etme konusunda yeterince uyanık davranamamış. Şirketin 150 GB’dan fazla kişisel ve özel verinin girişinin yapıldığı rsync sunucusunun, şirketin kendi bilgisayar ağında bulunan ve dikkatlice seçilmiş sunucular tarafından erişilebilir olması gerektiği belirtiliyor. Aksine rsync sunucusuna doğrudan internetten erişilebilir durumda olduğu biliniyor. Buradaki iyi haber ise UpGuard’ın olası bir yıkıcı hatalı ayarlamaya Level One’a rapor etmiş olması ve haberin kamuya yansımadan problemi hızlı bir şekilde çözmüş olması.
Rsync örneklerinin IP adresi tarafından kısıtlanması gerektiğini belirten UpGuard, böylece yalnızca atanmış istemcilerin bağlanabileceğini ve istemcilerin veri kümesini almadan önce kimlik doğrulaması yapması için kullanıcı erişiminin ayarlanması gerektiğini ifade ediyor. Şirkete göre bu önlemler olmadan, rsync herkese açık.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
