Hackerlar yine saldırdı: Büyük çaplı siber saldırıda 800.000 Macar’ın verisi sızdırıldı!
2024 Temmuz ayında, büyük çaplı bir hacker saldırısıyla yüz binlerce Macar kullanıcının kişisel verileri karanlık web’e sızdırıldı. Olay, on yılı aşkın süredir piyasada olan ve benzersiz hediye fikirleriyle tanınan bir online mağaza olan Kütyübazár’ı içermektedir.
Hack sırasında elde edilen bilgiler arasında isimler, e-posta adresleri ve ev adresleri bulunmaktadır ve başlangıçta SirDump adlı bir kullanıcı tarafından satılmıştır. Index’e göre, veri sızıntısı yaklaşık bir milyon sipariş detayını içeriyor ve yaklaşık 800-850 bin kullanıcıyı etkilemiş olabilir. Sızdırılan bilgileri doğrulayan ve içerdiği verilerin gerçek olduğunu onaylayan emailsec uzmanlarıyla veritabanının güvenilirliği doğrulanmıştır.
Neyse ki, şifreler ve kredi kartı bilgileri paketin içinde yer almadığından, veriler doğrudan kimlik avı yapmak için kullanılamaz. Ancak, uzmanlar, bu kadar fazla kişisel verinin dolandırıcılık ve phishing saldırıları için mükemmel bir temel oluşturduğunu ve etkilenenlerde ciddi finansal ve kişisel zarara neden olabilecekleri konusunda uyarıyor.
Salıdırı nasıl gerçekleşti?
Hacker’lar muhtemelen Kütyübazár’ın IT sistemlerindeki güvenlik açıklarını kullanarak verileri elde ettiler. Müşteri verileri için uygun şifreleme olmaması riski önemli ölçüde artırdı. Kütyübazár CEO’su László Jakab, saldırganların bir çalışanın şifresini ele geçirerek sisteme eriştiğini kabul etti.
Saldırıya yanıt olarak, Kütyübazár hemen polise suç duyurusunda bulundu, Ulusal Veri Koruma Otoritesi’ni bilgilendirdi ve etkilenen kullanıcıları Ağustos ayında e-posta yoluyla bilgilendirdi. O zamandan beri, şirket açık kaynaklı sistemini tamamen değiştirdi ve diğer güvenlik güçlendirmeleri getirdi.
Bilgisayar güvenliği uzmanı olan White Hat’ten Dénes Fodor’a göre, veritabanı bir milyon insanın verisini değil, o kadar çok siparişi içeriyor ve aralarında çiftler olabilir. Dolayısıyla gerçekten 800-850.000 kullanıcının kişisel verileri tehlikeye girebilirdi. Bununla birlikte, Kütyübazár, çalınan verilerin önemli bir kısmının test amaçlı veya sahte veri olduğunu iddia ederek, aslında etkilenen gerçek kullanıcı sayısının 221 olabileceğini belirtiyor.
Sistemin kusurları ve sorumluluk
Kütyübazár’ın yönetimine göre, önceki sistemleri de bir siber güvenlik uzmanı tarafından kontrol edilmiş ve kritik bir hata bulunmamıştı. Yine de, saldırı, özellikle yılda yüz binlerce siparişin verildiği bir pazarda, hatta en küçük güvenlik açıklarının bile hacker’lar tarafından exploit edilebileceğini göstermiştir. Şirket, sorumluluk sahiplerini bilgilendirme, sistemleri iyileştirme ve zararı en aza indirmek için yetkililerle yakın işbirliği yapma konusunda sorumlu bir şekilde hareket etmeye çalışmıştır.
Olaylar, özellikle büyük miktarda kişisel verinin işlendiği online alışveriş dünyasında siber güvenliğin önemini vurgulamaktadır. Bu olay, şirketlerin güvenlik sistemlerini sürekli olarak iyileştirmeleri ve çalışanları şifre yönetimi ve diğer temel güvenlik protokolleri konusunda eğitmeye özel dikkat göstermeleri gerektiğine dair bir uyarı olarak hizmet etmektedir.
Ayrıca, kullanıcılar, örneğin şifrelerini düzenli olarak güncelleyerek ve çevrimiçi ortamda fazla kişisel bilgi paylaşmaktan kaçınarak daha bilinçli olmalıdır. Birçok kişi için, veri hırsızlığı skandalı çevrimiçi varlıkları ve verilerinin korunması konusunda daha dikkatli olmaları gerektiği konusunda bir uyarı olabilir.
