143 MİLYON ABD’LİNİN VERİSİNİ SIZDIRAN EQUIFAX VERİLERİ “ADMİN” KULLANICI ADI VE ŞİFRESİ İLE KORUYORMUŞ
143 MİLYON ABD’LİNİN VERİSİNİ SIZDIRAN EQUIFAX VERİLERİ
“ADMİN” KULLANICI ADI VE ŞİFRESİ İLE KORUYORMUŞ
Kredi derecelendirme şirketi Equifax’ın 2017’de 143 milyon ABD’li müşteriyi kimlik hırsızlığına maruz bıraktığı büyük veri ihlali ile ilgili hazırlanan rapora göre şirket, kredi anlaşmazlıklarını yönetmek için kullandığı bir portala erişim yetkisi vermek için hem kullanıcı adı hem de parola olarak “admin” kelimesini kullanmış. Milyonlarca kişinin oldukça hassas verilerine sahip bir şirketin verileri korumak için default bir şifreyi kullanmasının oldukça büyük bir ihmal olduğunu belirten Bitdefender Türkiye Genel Müdürü Barbaros Akkoyunlu, uzun ve karmaşık şifreler oluşturmakta ve yönetmekte zorluk çeken şirketlerin bir şifre yöneticisi kullanmasını öneriyor.
Kredi derecelendirme şirketi Equifax’ın 2017’de 143 milyon ABD’li müşteriyi kimlik hırsızlığına maruz bıraktığı büyük veri ihlalinin üzerinden 2 yıl geçti ancak hala tüm zamanların en kötü ihlallerinden biri olarak kabul ediliyor. İhlal ile ilgili ortaya çıkan son bulgu ise oldukça çarpıcı. Hazırlanan rapora göre şirket, kredi anlaşmazlıklarını yönetmek için kullandığı bir portala erişim yetkisi vermek için hem kullanıcı adı hem de parola olarak “admin” kelimesini kullanmış. Şirket verilerinin korunmasında hem çok faktörü kimlik doğrulaması hem de benzersiz zor şifreler kullanılması gerektiğini belirten Bitdefender Türkiye Genel Müdürü Barbaros Akkoyunlu’ya göre, Equifax gibi kritik birçok veriye sahip olan bir şirketin dahi basit güvenlik önlemlerini göz ardı etmesi, insan hatalarından kaynaklanabilecek güvenlik problemlerinin boyutunu gözler önüne seriyor.
700 Milyon Dolar Ceza Kesilmişti
Ülke nüfusunun yaklaşık yarısını etkileyen ABD tarihinin en büyük siber saldırısında, dışarıya sızan bilgiler arasında müşterilerin isimleri, sosyal güvenlik numaraları, doğum tarihleri ve sürücü belgelerinin bulunduğu kaydedilmişti. Temmuz ayında ABD Federal Ticaret Komisyonu (FTC), Equifax'ın federal ve eyalet düzenleyicileriyle yaşanan veri ihlali üzerine anlaşmaya vardığını belirtmiş ve şirket 700 milyon dolara kadar tazminat ödemeyi kabul etmişti.
Hem Kullanıcı Adı Hem De Şifre Olarak “Admin” Kullanılmış!
Equifax’ın suçlandığı diğer başlıklar ise şöyle:
- Yeterli bir yama yönetimi süreci gerçekleştiremedi, aynı zamanda siber güvenlik altyapısındaki bilinen eksiklikleri gideremedi.
- Yama sürecini tüm ağında manuel olarak uygulamak için tek bir kişiye güvendi.
- Hassas verileri şifreleyemedi, düz metin olarak sakladı ve yetkisiz kullanıcıların okumasını ve yanlış kullanmasını kolaylaştırdı.
- Web sitesi sunucusunu tehlikeye atan herhangi bir saldırganın bu kişisel verilere plaintext ile hemen erişebilmesini sağlayan, halka açık ve yaygın olarak kullanılan bir web sitesi aracılığıyla erişilebilen şifrelenmemiş hassas veriler bıraktı.
- Savunmasız mobil uygulamaları şifreleyemedi, bu nedenle şifrelenmemiş verileri internet üzerinden aktarılmasına neden oldu.
- Verileri şifrelemek için kullandığı şifre çözme anahtarlarını herkese açık bıraktı.
Ve liste uzayıp devam ediyor ancak belki de Equifax'daki en büyük problem, kimlik doğrulama departmanındaydı. Özellikle, çok faktörlü kimlik doğrulaması yapamadı ve kredi anlaşmazlıklarını yönetmek için kullanılan bir portala erişim yetkisi vermek için hem kullanıcı adı hem de parola olarak “admin” kullandı. Milyonlarca kişinin oldukça hassas verilerine sahip bir şirketin default bir şifreyi kullanmasının oldukça büyük bir ihmal olduğunu belirten Barbaros Akkoyunlu, bu tarz verileri korumak başta olmak üzere şifre gerektiren tüm kişisel veya kurumsal hesaplarda rakamlar ile harflerin beraber bulunduğu, kırılması zor alfa-numerik şifrelerin seçilmesi gerektiğini, uzun ve karmaşık şifreler oluşturmakta ve yönetmekte zorluk çekiliyorsa Bitdefender Password Manager gibi bir şifre yöneticisi kullanılmasını öneriyor. Password Manager, parolalarınızı takip etmenizi, gizliliğinizi korumanızı ve güvenli bir tarayıcı deneyimi yaşamanızı sağlar. Kimlik bilgilerinize erişmek için tek bir ana şifre kullanan Password Manager, şifrelerinizi güvende tutmanızı kolaylaştırır. Çevrimiçi etkinlikleriniz için en iyi korumayı sunan Password Manager, Bitdefender Safepay™ ile entegre çalışır ve özel verilerinizin tehlikeye atılacağı çeşitli yollar için birleşik bir çözüm sunar.