Türkiye’den ÖSYM’yi ve Sağlık Bakanlığının e-nabız sistemini hedef alan siber tehdit unsurları, sızdırdıklarını iddia ettikleri veritabanlarını satışa çıkardı.
Tehdit aktörleri, deep webde yayımladıkları mesajda, ÖSYM’ye ait olduğunu öne sürdükleri 4 milyon satırlık veritabanını 300 dolara satışa çıkardıklarını açıkladı.
Saldırganlar söz konusu veritabanında TC Kimlik Numarası, ad, soyad, ip adresi gibi bilgilerin yer aldığını iddia ederek kullanıcı girişi yapılmış ekran görüntülerini paylaştı.
Tehdit aktörlerinin paylaştığı diğer bir mesajda ise E-nabız’a ait olduğu öne sürülen 7 milyon satırlık veritabanı satışa çıkarıldı. Veriler arasında TC kimlik numarası, ad, soyad, yaş, boy, kilo, kişinin çocukları gibi kişisel bilgiler yer alıyor. Verileri 600 dolardan satışa çıkaran tehdit aktörleri bu paylaşımda da giriş işlemi yapılmış kullanıcıların ekran görüntülerini paylaştı.
Siber güvenlik uzmanları, bilgilerin kullanıcı bilgisayarlarına bulaştırılan ve bilgi çalan yazılımlar aracılığıyla elde edilmiş olabileceğini belirtiyor.
Afgan Güvenlik Güçleri bünyesinde dolandırıcılığı azaltmak amaçlı oluşturulan ve askerlerin kişisel bilgilerini içeren veri tabanının yeni yönetimle birlikte Taliban’ın eline geçmiş olmasından endişe ediliyor. Afganların göz taramalarından, akrabalarına ve en sevdikleri meyvelere kadar kişi başına toplam 40 farklı veri içeren sistemin Taliban’ın suistimal edilebileceği düşünülüyor.
Taliban, ağustos ayının ortalarında Afganistan’ı ele geçirip, yirmi yıllık savaşın sona erdiğini ilan ederken, göz taramaları, parmak izleri ve yüz görüntüleri gibi verileri toplamak için kullanılan ABD askeri biyometrik cihazlarını da ele geçirdi. Kimilerine göre, HIIDE olarak bilinen bazı araçlar, koalisyon güçlerini destekleyen Afganların belirlenmesinde kullanılabilir.
Öte yandan, bu sistemlerden birine aşina olan iki uzman MIT Technology Review’a yaptıkları açıklamada, bu cihazların biyometrik verilere yalnızca sınırlı erişim sağlayabildiğini söyledi. Ancak daha büyük bir tehlike var ki o da ülke genelinde milyonlarca insanı tespit etmekte kullanılabilecek hassas kişisel bilgileri içeren Afgan hükümetine ait veri tabanları.
ASKER VE POLİSİN KİŞİSEL BİLGİLERİ TALİBAN’IN ELİNE GEÇMİŞ OLABİLİR
MIT Technology Review, APPS (Afganistan Personel Maaşlarını Ödeme Sistemi) olarak bilinen ve ABD tarafından finanse edilen bir veri tabanı olan bu sistemleri yakından tanıyan iki isimle konuştu. Hem Afganistan İçişleri Bakanlığı hem de Savunma Bakanlığı tarafından asker ve polis maaşlarının ödenmesinde kullanılan bu sistem, ülkedeki güvenlik personeli hakkında çok ince ayrıntılara sahip, tartışmasız en hassas sistem olarak biliniyor.
Kimliğini açıklamayan istemeyen iki kaynağın tahminlerine göre, sahte kimlikler veya “hayalet askerler” dahil maaşlarda dolandırıcılığı azaltmak için 2016 yılında başlatılan APPS, Afgan Ulusal Ordusu ve Afgan Ulusal polisinin her üyesi hakkında yaklaşık yarım milyon kayıt içeriyor.
Veriler kişilerin “askere alındıkları günden itibaren” toplanıyor ve o kişinin aktif olarak hizmette olup olmadığına bakılmaksızın sonsuza dek sistemde kalıyor. Aynı kaynak, kayıtların güncellenebileceğini ancak Taliban’ın yönetimi ele geçirmesi gibi kritik durumlarda bile herhangi bir silme veya veri saklama politikasının olup olmadığı konusunda bilgisinin olmadığını sözlerine ekledi.
Söz konusu kaynaklar, APPS’deki her profilin en az 40 farklı veriye sahip olduğunu ileri sürüyor. Bunlar arasında isim, tarih ve doğum yeri gibi spesifik kişisel bilgilerin yanı sıra her bir profili Afganistan İçişleri Bakanlığı tarafından tutulan biyometrik profillere bağlayan benzersiz bir kimlik numarası bulunmakta.
BABA, AMCA VE DEDELERİN İSİMLERİ DE LİSTEDE
Sistem aynı zamanda görev yapan her askerin kariyer gidişatının yanı sıra askerlikteki teminatları kabul edilen iki aşiret büyüğü, amca, baba ve dedelerinin isimleri gibi hassas veri içeriyor. Bu durum, veri altyapılarını inceleyen Bağımsız Araştırma Grubu Data & Society’de görev yapan Ranjit Singh’e göre, basit bir dijital kataloğun ne kadar tehlikeli bir şeye dönüşebildiğini göstermekte. Singh, bunu “tüm bu insanları riske sokan bir tür soybilimi” olarak adlandırmakta.
Örneğin sadece polis iş başvuru formları, başvuru sahipleri ve aileleri hakkında “favori meyve” ve “favori sebze” gibi ayrıntıları içeren veriler de dahil olmak üzere 36 ayrı bilgi toplamış bulunuyor.
Gazeteci Annie Jacobsen, bu bilgilerin ister sistemi geliştiren Amerikalılar ister Taliban için olsun rakiplerin destekçilerini belirleme noktasında büyük derin bir askeri değere sahip olduğunu söylüyor.
Bir iş başvuru formunda favori meyve ve sebzeleri sormak yersiz gibi görünse de toplanan bilgilerin kapsamını göstermesi açsısından önemli.
MİSİLLEME ENDİŞESİ
Taliban, önceki hükümet veya koalisyon güçleriyle birlikte çalışan Afganlara yönelik misilleme yapmayacaklarını kamuoyuna açıklamış olsa da geçmişteki eylemleri bu konuda güven verici olmadıklarını gösteriyor.
24 Ağustos BM İnsan Hakları Yüksek Komiseri özel bir G7 toplantısına yaptığı açıklamada, “Sivillerin ve Afgan Ulusal güvenlik güçlerinin mensuplarının Yargısız İnfazı” hakkında ihbarlar aldıklarını iddia etmişti. Söz konusu veri tabanı hakkında bilgi sahibi olan bir kişi “Veri tabanlarına bakıp buna dayalı listeler basmaya başlarlarsa ve eski askeri personelin başına ödül koyarlarsa hiç şaşırmam.” dedi.
Uluslararası Af Örgütü tarafından gerçekleştirilen bir soruşturma kapsamında Taliban’ın Temmuz ayı başlarında Gazne eyaletinde yakaladığı dokuz Hazaralı erkeği katlederken Kabil’de de Taliban’ın kapı kapı dolaşarak “hükümet veya uluslararası destekli projelerde çalışmış olan bireyleri soruşturduğu rapor edilmişti.
İran, nükleerarşivinin çalındığını ilk kez resmen kabul etti. Tahran yönetiminden bir yetkili ülkenin nükleer belgelerinin bulunduğu arşivin ele geçirildiğini açıkladı.
İran’ın Mehr Haber Ajansı, Düzenin Maslahatını Teşhis Konseyi (DMTK) Sekreteri Muhsin Rizai, ülkenin güvenlik sisteminin yeniden elden geçirilmesi gerektiğine işaret ederek, “Ulusal güvenlik büyük tehditlere açık ve bir yıldan az bir süre içinde iki patlama ve bir suikast olması bunun göstergesi.” dedi.
İLK KEZ ÇALINMIYOR
Rızai, “Bundan önce de bütün nükleer arşivimizin belgeleri çalındı, birkaç şüpheli insansız hava aracı geldi ve bazı işler yaptı.” diye konuştu. İsrail gizli servisi Mossad İran’ın nükleer arşivini çaldıktan sonra İsrail Başbakanı Benjamin Netanyahu, bunlara dayanarak İran’ın nükleer silah geliştirmeyi amaçladığını ileri sürmüştü. İran ise bu iddiayı reddetmişti.
İranlı yetkili geçen hafta Natanz’da meydana gelen patlama hakkında ise “Prestij bakımından kötü bir olay. Bunu diplomasideki direncimizi kırmak için yaptılar.” değerlendirmesinde bulundu.
PATLAMANIN FAİLİ BULUNDU
Öte yandan Tahran yönetimi Natanz’daki patlamanın sorumlusunu 43 yaşındaki Rıza Kerimi olduğunu açıkladı. Olaydan önce Kerimi’nin ülkeyi terk ettiği bildirildi.
Kerimi hakkında daha önceden Interpol nezdinde arama emri çıkartıldığı da kaydedildi.
Geçtiğimiz günlerde yayımlanan bir araştırma ile Çinli video paylaşım platformunda TikTok’ta önemli bir güvenlik açığını ortaya çıkardı. “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunu merak eden araştırmacılar kimlik hırsızlığıyla sonuçlanabilecek kritik bir zafiyeti keşfetti.
Siber güvenlik firması Check Point Research araştırmacıları, popüler sosyal medya platformu TikTok kullanıcılarının kişisel verilerini çalmasına izin veren güvenlik açığı tespit etti. Tespit edilen güvenlik açığı TikTok’un “Arkadaş Bul” seçeneğinde bulundu.
Sıklıkla güvenlik açıklarıyla gündeme gelen ve Çin merkezli ByteDance firmasına ait olan TikTok uygulaması, gizlilik ihlallerini önlemek, kullanıcıların verilerini saklı tutabilmek adına bir süredir hata-ödül programı olan HackerOne ile birlikte çalışarak tehdit aktörlerinden önce güvenlik açıklarını bulmak için çalışma başlatmıştı. Yapılan çalışmalarla birlikte birçok açığını yamayan TikTok üzerinde yapılan çalışma ise “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusuna ‘evet’ yanıtını verdi.
AÇIK “ARKADAŞ BUL” SEÇENEĞİNDE
Chech Point Research araştırmacıları Eran Vaknin, Alon Boxiner tarafından yapılan araştırma TikTok’un gizliliğini inceledi. Böylelikle kullanıcı verileriyle ilişkili tüm eylemlere odaklanan araştırmacılar gizlilik açığını TikTok kullanıcılarının tanıyor olabilecekleri kişileri kolayca bulmasını sağlayan “Arkadaş Bul” seçeneğinde buldu.
TikTok uygulamasında “Arkadaş Bul” seçeneğine tıkladığınızda rehberinizdeki kişiler, hash fonksiyonuyla dizilenmiş kişi adları ve telefon numaralarından oluşan bir liste şeklinde HTTP isteği aracılığıyla uygulamaya yükleniyor.
Bir sonraki adımda, önceki istekte gönderilen telefon numaralarına bağlı TikTok profillerini alan ikinci bir HTTP isteği gönderiyor. Alınan bu cevapta profil adları, telefon numaraları, fotoğraflar ve profillerle ilgili bilgiler yer alıyor.
Check Point araştırmacıları, elektronik olarak kısıtlanmış bir kaynağa erişmek için kullanılan “X-Tt-Token” belirteci kullanarak “Arkadaş Bul” seçeneğinin diğer bir adımı olan senkronizasyonla isteğinin günlük 500 kişi limitinden kurtulmak için cihaz tanımlayıcısını ele geçirdi. Daha sonra istekler üzerinde oynama yapabildiklerini keşfeden araştırmacılar “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunun yanıtını buldu.
TEHDİT AKTÖRLERİ VERİTABANI OLUŞTURABİLİRDİ
Bulunan güvenlik açığıyla tehdit aktörlerinin, HTTP isteklerini manipüle ederek kullanıcıların karşıya yüklemelerine ve kişilerini senkronize etmelerine olanak tanıyan “Arkadaş Bul” seçeneğiyle kimlik hırsızlığı gibi saldırılarda kullanılabilecek kullanıcı ve telefon numaralarından oluşan bir veritabanı oluşturabilecekleri ortaya çıkarıldı.
GÜVENLİK AÇIĞI GİDERİLDİ
Konuyla ilgili açıklama yapan Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, “Birincil motivasyonumuz TikTok’un gizliliğini keşfetmekti. TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlaline neden olan birden fazla koruma mekanizmasını atlatmayı başardık. Güvenlik açığı, bir saldırganın kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak verebilirdi. Bu derecede hassas bilgilere sahip bir saldırgan, hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir” ifadelerini kullandı.
Güvenlik açığı, bir yama ile düzeltilse de uygulama ile ilgili soru işaretleri devam ediyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
