Kanadalı havayolu şirketi Air Canada, 1,7 milyon
kullanıcıya hizmet verdiği mobil uygulamasındaki bir güvenlik açığı nedeniyle
veri sızıntısıyla karşı karşıya kaldı. Air Canada’ya ait mobil uygulamayı hedef
alan saldırganlar, 20.000 kişiye ait hassas veriyi ele geçirdi. Şirketin
açıklamasına göre çalınan veriler arasında kullanıcı isimleri, telefon
numaraları, mail adresleri ve pasaport numaraları gibi hassas bilgiler yer
alıyor. Veri sızıntısının şirketler için ciddi ve uzun süreli sonuçlar
yaratacağının altını çizen Bitdefender Antivirüs, şirketlere önemli uyarılarda
bulunuyor.
Air Canada’nın yayınladığı güvenlik açıklamasında,
anormal hesap hareketlerinin 22 - 24 Ağustos tarihleri arasında gerçekleştiği
ve 1,7 milyon kullanıcı arasından 20.000 adet profile yetkisiz olarak
erişildiği belirtiliyor. Şirket, bu sayının kullanıcıların sadece %1’ine denk
geldiğini vurgulasa da bu durum, bilgileri ele geçirilmiş kullanıcıları
rahatlatmaya yetmiyor.
Veri Sızıntısı,
Kurbanların Hayatını Kabusa Dönüştürüyor
Ele geçirilen hassas bilgiler kullanıcıların isimleri,
telefon numaraları, mail adresleri, pasaport numaraları, mail adresleri,
pasaportlarının teslim yeri, milliyetleri, cinsiyetleri, NEXUS numaraları,
ikamet ettikleri ülke ve doğum tarihleri gibi çok geniş bir kapsama yayılıyor.
Her ne kadar uygulamanın kredi kartı bilgilerini şifreli
halde depoladığı ve hackerlerin bu sayede onlara ulaşamadığı belirtilse de
pasaport bilgileri çalınmış olan kurbanların da yakın zamanda ciddi sorunlarla
karşı karşıya gelebileceği biliniyor. Siber saldırganlar bankalar, sigorta
firmaları, cep telefonu operatörleri gibi pasaportun aslını fiziksel olarak
göstermenin bir gereklilik olmayabileceği kurumlarda, bu bilgiler aracılığıyla
hesap oluşturarak pek çok işlem gerçekleştirebiliyor. Kurbanların hayatı, vahim
boyutlardaki kredi kartı faturaları gibi sorunlarla uzun süre kabusa
dönüşebiliyor.
Sahte Pasaport
İçin Kullanılabilir!
Daha tehlikeli bir risk olarak ise, dolandırıcıların
çaldıkları bilgiyi yeni bir fiziksel pasaport edinme için kullanabilecekleri
fikri akıllara geliyor. Ancak havayolu şirketi, Kanada devletinin böyle bir
riski düşük bulduğunu çünkü kuralların, orijinal pasaportu taşıyan kişiyi hala
belgenin asıl sahibi olarak gösterdiğini belirtiyor. Diğer taraftan Air
Canada’nın, Kanada devletinin resmi şifre tavsiyelerine aykırı davrandığına
dikkat çekiliyor. Uygulama, hesaba giriş işlemleri için nadiren 6 ile 10
karakter arası şifre istiyor ve kullanıcıların değişik tipte semboller
içermeyen, basit şifreler seçmesine izin verdiği için eleştiriliyor.
Uygulamadaki zayıf şifre özelliklerinin bu sızıntıda rol
oynayıp oynamadığı kesin olarak bilinmiyor. Ancak vakanın ardından Air Canada,
şifre güvenlik seviyesini artırma yoluna gitti. Kullanıcılar, havayolu
şirketinin uygulamasına veya web sitesine bir sonraki girişlerinde yeni bir
şifre seçmek durumunda kalacak.
Havayolu şirketi, kullanıcıların finansal işlemlerini
gerçekleştirirken gözlerini açık tutmaları, beklenmedik bir hareket görürlerse
finansal servis sağlayıcılarıyla iletişime geçmeleri ve kredi kartları hesap
dökümlerinde karşılaşabilecekleri herhangi bir değişikliğe karşı dikkatli
olmaları gibi önerilerde bulunuyor.
Şirketler Ne
Yapmalı?
Veri ihlalinin sonuçları şirketlerde yıkıcı ve uzun
vadeli mali sonuçlar doğurabilir. Bunlar arasında itibar ve müşteri kaybı,
gelirlerde düşüş, rekabet avantajı kaybı ve çalışanların üretkenlikte yetersiz
kalmaları sayılabilir. Dünyada 500 milyondan fazla kullanıcıyı koruyan global
güvenlik yazılımları şirketi Bitdefender Antivirüs, şirketleri siber
saldırganların kurbanı olmamaları için uyarıyor ve önemli tavsiyelerde
bulunuyor.
• Müşteriler, özel bilgilerinin güvenliği ve gizliliğine
saygı göstermek için şirketlerin mümkün olan her şeyi yaptıklarına güvenirler.
Sorumluluktan kaçınmak, müşterilerinizi kaybetmenize, hisse değerinizin
düşmesine ve potansiyel olarak milyon dolarlar yitirmenize neden olacak bir
veri ihlaline yol açabilir.
• IT uzmanları, bir ihlali önleme yeteneklerinden yeteri
kadar emin değiller. Güveni artırmak için etkili bir veri ihlali yanıt planı
içeren güçlü bir güvenlik mevzuatı büyük önem taşır. Ne yazık ki, birçok
durumda yönetim kurulu başkanları ve CEO'lar itibar kaybına ve hisse değerinde
ciddi düşüşlere rağmen veri ihlallerine hazırlık yükümlülüğünden kaçınırlar. Ancak,
veri ihlaline hazırlıklı olunması için şirket üst yönetiminin de aktif olarak
sürece dahil edilmesi gerekir.
• Veri ihlali hazırlığının bir parçası olarak üst
yönetim, kendi şirketinin gizlilik ve veri işleme uygulamalarının
müşterilerinin beklentilerine saygılı olmasını sağlamalıdır. Bu tür çabalar
müşteri düşüşlerini hafifletmeye yardımcı olacaktır.
YORUMLAR