Dow Jones Bulut Sızıntısı Milyonlarca Abone Verisini Sızdırdı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Dow Jones Bulut Sızıntısı Milyonlarca Veriyi Açığa Çıkardı

Wall Street Journal'ın ana şirketi Dow Jones'a ait, yanlış yapılandırılmış bir bulut sunucusu, milyonlarca abonenin kişisel ve finansal bilgilerini korumasız bıraktı. Siber güvenlik firması UpGuard tarafından keşfedilen sızıntı, basit bir hatanın ne kadar büyük sonuçlar doğurabileceğinin bir kanıtı.

Dow Jones logosunun üzerinde bir bulut ve kırık bir kilit simgesi

Ne Oldu

Her şey yine o tanıdık senaryoyla başladı. Büyük bir şirket, dünyanın en saygın finans yayınlarından bazılarının sahibi, bulutta bir yerlerde bir kapıyı ardına kadar açık unutuyor. Bu kez sahnede Wall Street Journal, Barron's gibi yayınların ana şirketi olan Dow Jones & Company var. Siber güvenlik araştırmacıları, şirkete ait bir Amazon Web Services (AWS) S3 depolama alanının tamamen korumasız ve herkese açık olduğunu fark etti. Yani, doğru adresi bilen herhangi biri, milyonlarca aboneye ait hassas bilgilere hiçbir engele takılmadan, şifre bile girmeden ulaşabiliyordu.

Olayı ortaya çıkaran, bu türden açık sunucuları taramasıyla bilinen UpGuard siber güvenlik firması. Araştırmacılar, yaptıkları rutin kontroller sırasında bu devasa veri haznesine denk geldiler. Bu bir hack değil, bunu netleştirelim. Kimse karmaşık kodlar yazıp Dow Jones'un sistemlerine sızmadı. Durum çok daha basit ve belki de bu yüzden daha trajikomik: Biri, bir ayarı yanlış yapmış. Bir sunucuyu 'özel' yerine 'herkese açık' olarak işaretlemiş ve kimse fark etmemiş. Ta ki UpGuard araştırmacıları kapıyı çalana kadar.

Bu tür sızıntılar, siber güvenlik dünyasının en yaygın ama en önlenebilir sorunlarından biri. Şirketler, verilerini buluta taşımanın getirdiği esnekliğe ve güce odaklanırken, en temel güvenlik protokollerini gözden kaçırabiliyor. Bir geliştiricinin veya sistem yöneticisinin yapacağı tek bir yanlış tıklama, milyonlarca insanın verisini internetin ortasına bırakabiliyor. Dow Jones vakası da bu durumun ders kitaplarına girecek nitelikte bir örneği. Milyonlarca dolarlık güvenlik bütçeleri, yazılımlar, danışmanlar... Hepsi, tek bir yanlış yapılandırma ayarı karşısında işlevsiz kalmış gibi görünüyor.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Gecirilen Veriler

Peki, bu açık bırakılan dijital kasada tam olarak ne vardı? Liste epey uzun ve bir finans yayınları devinin müşterileri düşünüldüğünde, oldukça da değerli. UpGuard'ın raporuna göre, sızdırılan veritabanı yaklaşık 2.2 ila 4 milyon arasında aboneye ait bilgileri içeriyordu. İşte o verilerden bazıları:

  • Kişisel Tanımlayıcı Bilgiler: İsimler, soyisimler, ev ve iş adresleri, e-posta adresleri ve telefon numaraları. Bu, dolandırıcıların bir kişiyi hedef alması için gereken temel cephaneliğin ta kendisi.
  • Abonelik Detayları: Hangi yayına (Wall Street Journal, Barron's, MarketWatch vb.) abone oldukları, abonelik türleri ve ne kadar ödedikleri gibi bilgiler.
  • Hesap Bilgileri: Kullanıcı adları ve hesapla ilgili diğer tanımlayıcılar. En endişe verici kısımlardan biri de, raporda belirtilmese de, bu tür sızıntılarda şifrelerin de zayıf bir şekilde korunmuş (örneğin, MD5 gibi eski bir algoritmayla hash'lenmiş) olma ihtimalidir.
  • Kısmi Finansal Veriler: Belki de en hassas olanı. Sızan veriler arasında müşterilerin kredi kartlarının son dört hanesi de bulunuyordu. Tam kart numarası olmasa da, bu bilgi diğer kişisel verilerle birleştirildiğinde son derece güçlü bir silah haline gelebilir. Dolandırıcılar, sizi arayıp "Sayın Yılmaz, sonu 1234 ile biten kartınızla ilgili bir sorun var" dediğinde, eldeki bu bilgi sayesinde çok daha inandırıcı olurlar.

Bu verilerin bir araya gelmesi, basit bir veri sızıntısından çok daha fazlasını ifade ediyor. Bu, dünyanın en etkili iş insanları, yatırımcıları ve politikacılarından bazılarının detaylı bir profilini oluşturmak için kullanılabilecek bir hazine. Kimin hangi finansal haberleri okuduğu, nerede oturduğu, hangi e-posta adresini kullandığı gibi bilgiler, sofistike oltalama (phishing) saldırıları ve hatta şantaj için bile kullanılabilir. Bir CEO'nun ev adresinin ve telefon numarasının, hangi finansal analizlere ilgi duyduğu bilgisiyle birlikte ortalığa saçılması, hayal edebileceğinizden çok daha büyük güvenlik riskleri doğurur.

Saldirnin Nasil Gerceklesti

İşin teknik tarafı aslında şaşırtıcı derecede basit. Dow Jones, veri depolamak için Amazon'un S3 servisini kullanıyordu. S3'ü, internet üzerinde bulunan devasa bir dijital depo gibi düşünebilirsiniz. Bu depolara "kova" (bucket) adı verilir ve her bir kovanın erişim ayarları vardır. Varsayılan olarak bu kovalar özeldir, yani sadece yetkili kişilerin erişimine açıktır. Ancak, bir kullanıcı bu ayarı değiştirip kovayı "herkese açık" yapabilir. İşte facianın başladığı yer de tam olarak burası.

Görünen o ki, Dow Jones'a ait en az bir S3 kovasının izinleri, kimlik doğrulaması gerektirmeyecek şekilde ayarlanmıştı. Bu, kovanın URL'sini bilen veya tarama araçlarıyla keşfeden herkesin içindeki dosyalara göz atabileceği ve indirebileceği anlamına geliyordu. Bu bir insan hatası mıydı? Muhtemelen. Bir çalışan, geçici bir dosya paylaşımı için ayarı değiştirip geri almayı unutmuş olabilir. Veya, otomatik bir komut dosyası (script) yanlış yapılandırılmış ve güvenlik ayarlarını sıfırlamış olabilir. Sebep ne olursa olsun, sonuç değişmiyor: Milyonlarca kişinin verisi, kilitlenmemiş bir kasada bırakıldı.

Bu olay, bulut güvenliğindeki "paylaşılan sorumluluk modelini" de bir kez daha gündeme getiriyor. Amazon gibi bulut sağlayıcıları, altyapının güvenliğinden sorumludur. Yani sunucuların fiziksel güvenliği, ağ altyapısı onlara aittir. Ancak, o altyapının üzerine koyduğunuz verilerin ve uygulamaların güvenliğini yapılandırmak tamamen müşterinin, yani bu durumda Dow Jones'un sorumluluğundadır. Dow Jones, Amazon'un sunduğu güvenlik araçlarını doğru şekilde kullanmamış ve bu devasa sızıntıya zemin hazırlamıştır. Kısacası, suçu atacak bir hacker yok. Ayna var.

Etkilenenler Kim

Bu sızıntının kurbanları, Dow Jones'un yayınlarına para ödeyen, onlara güvenen milyonlarca insan. Liste oldukça geniş:

  • The Wall Street Journal Aboneleri: Dünyanın en büyük iş ve finans gazetelerinden birinin okuyucuları. Bu kitle, CEO'lardan, üst düzey yöneticilerden, yatırımcılardan ve akademisyenlerden oluşuyor. Yani, kimlik hırsızlığı ve oltalama saldırıları için oldukça değerli hedefler.
  • Barron's Aboneleri: Özellikle yatırımcılara ve piyasa profesyonellerine hitap eden bir başka prestijli yayın. Bu kişilerin finansal varlıkları ve piyasa hareketlerine olan ilgileri, onları dolandırıcılar için birincil hedef haline getiriyor.
  • Diğer Dow Jones Mülkleri: MarketWatch gibi popüler finans haber sitelerinin veya Factiva gibi kurumsal hizmetlerin kullanıcıları da risk altında olabilir. Sızıntının tam kapsamı henüz netleşmese de, Dow Jones şemsiyesi altındaki herhangi bir hizmete üye olan herkesin potansiyel olarak etkilendiğini varsaymak en güvenli yaklaşım olacaktır.

Etkilenenler sadece mevcut aboneler de değil. Şirketlerin veri saklama politikaları gereği, geçmişte aboneliğini iptal etmiş milyonlarca kişinin verisi de bu sunucularda tutuluyor olabilir. Yani yıllar önce WSJ aboneliğinizi bitirmiş olsanız bile, verileriniz hala bu sızıntının bir parçası olabilir. Bu durum, sızıntının potansiyel etki alanını daha da genişletiyor.

Ne Yapabilirsin

Eğer bir Dow Jones yayınına aboneyseniz veya geçmişte abone olduysanız, şimdi panik yapma değil, akıllıca hareket etme zamanı. İşte size klişe olmayan, doğrudan bu sızıntıya yönelik bazı adımlar:

1. Şifrelerinizi Önceliklendirin: "Tüm şifrelerinizi değiştirin" demek kolay ama gerçekçi değil. Şöyle yapın: Dow Jones hesaplarınızda kullandığınız şifreyi başka bir yerde, özellikle de e-posta veya bankacılık gibi kritik servislerde kullanıyor musunuz? Cevabınız evet ise, önce o kritik servislerin şifresini değiştirin. Saldırganlar, bu sızan şifreleri alıp otomatik olarak diğer platformlarda denerler. Bu tekniğin adı 'credential stuffing' ve son derece etkilidir. Dow Jones hesabınızın şifresi ikinci önceliğiniz olabilir.

2. Oltalama Saldırılarına Karşı Paranoyak Olun: Önümüzdeki birkaç ay, telefonunuza ve e-postanıza gelecek mesajlara karşı ekstra dikkatli olun. Dolandırıcılar artık elinizde hangi yayına abone olduğunuzu, adresinizi ve kredi kartınızın son dört hanesini biliyor. "Sayın Ali Vural, sonu 4567 ile biten kartınızdan Wall Street Journal aboneliğiniz yenilenemedi. Bilgilerinizi güncellemek için buraya tıklayın" gibi son derece kişiselleştirilmiş ve inandırıcı sahte e-postalar alacaksınız. Unutmayın: Dow Jones size asla bir e-posta ile şifrenizi veya tam kredi kartı numaranızı sormaz. Şüphelendiğiniz bir e-posta alırsanız, içindeki linke tıklamak yerine, tarayıcınızı açıp doğrudan wsj.com veya ilgili sitenin adresini kendiniz yazarak hesabınıza giriş yapın.

3. Kredi Kartı Ekstrelerinizi ve Banka Hesaplarınızı İzleyin: Sızan veriler arasında tam kredi kartı numarası olmasa da, bu bilgiler başka kaynaklardan elde edilen verilerle birleştirilerek dolandırıcılık için kullanılabilir. Önümüzdeki aylarda kredi kartı ekstrelerinizi satır satır inceleyin. Tanımadığınız küçük bir harcama bile, kart bilgilerinizin test edildiğinin bir işareti olabilir. Hemen bankanızla iletişime geçin.

Sirket Ne Diyor

Dow Jones'tan gelen ilk tepki, beklendiği gibi kurumsal bir dil içeriyordu. Şirket sözcüsü, UpGuard tarafından durumdan haberdar edildiklerini ve söz konusu sunucuya erişimin derhal kapatıldığını doğruladı. Açıklamada, "Müşterilerimizin verilerinin güvenliği bizim için en üst düzeyde önceliktir. Olayı araştırmak ve etkilenen müşterileri bilgilendirmek için bir soruşturma başlattık" denildi.

Ancak şirket, sızıntının ne kadar süredir devam ettiği veya bu süre içinde kimlerin verilere erişmiş olabileceği gibi kilit soruları yanıtsız bıraktı. Ayrıca, sızan verilerin "tam kredi kartı numaraları, sosyal güvenlik numaraları veya diğer hassas kişisel kimlik bilgilerini içermediğini" belirterek durumu bir miktar hafifletmeye çalıştılar. Bu teknik olarak doğru olsa da, sızan PII ve kısmi finansal verilerin birleşiminin ne kadar tehlikeli olabileceği gerçeğini değiştirmiyor. Şirketin önümüzdeki günlerde daha detaylı bir açıklama yapması ve etkilenen kullanıcılara doğrudan ulaşması bekleniyor. Ancak şimdilik, müşterilerin kendi güvenliklerini kendilerinin sağlaması en doğru yol gibi görünüyor.

Kaynak

https://www.upguard.com/breaches/cloud-leak-dow-jones

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Charter İletişim Krizi 5 Milyon Kişiyi Etkileyebilir Sonraki Yazı → Güvenlik Şirketi APIsec Kendi Verilerini Sızdırdı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.