Son Yıllarda Yaşanan Veri İhlalleri
TechCrunch, son birkaç yılda yaşanan önemli veri ihlalleri ve güvenlik olaylarını geriye dönük olarak değerlendirerek, büyük şirketlerin geçmişte yaptıkları hatalardan ders çıkarması umuduyla bu yazıyı kaleme aldı. Ancak bu yıl da farklı şirketlerin benzer kötü davranışlarını sıralamak durumunda kalmak hiç de sürpriz olmadı.
23andMe Kullanıcıları Suçladı
23andMe, genetik test alanında faaliyet gösteren bir şirket, geçen yıl 7 milyon müşterisinin genetik verilerini kaybetti. Bu veri ihlali, hackerların binlerce hesaba brute-force saldırısıyla erişim sağlaması sonucu gerçekleşti. Şirket, kullanıcıların güvenlik önlemlerini ihmal ettiğini öne sürdü ve çok faktörlü kimlik doğrulama sistemini geç uyguladı.
İlerleyen günlerde, 23andMe’nin yeni yılın hemen başında, bu büyük veri çalınmasında kullanıcıları suçlaması, müşteri avukatları tarafından “mantıksız” olarak değerlendirildi. Birleşik Krallık ve Kanada’dan yetkililer, ihlali araştırmak için ortak bir soruşturma başlattı.
Change Healthcare: Geç Tepki ve Büyük Kaygılar
Change Healthcare, Şubat ayında bir siber saldırı sonucu tüm ağını kapatan sağlık teknolojisi şirketidir. Bu saldırı, ABD’nin sağlık sisteminde büyük aksamalara neden oldu. Şirketin ihlali, kullanıcı hesaplarının çok faktörlü kimlik doğrulamasına sahip olmaması nedeniyle mümkündü. Affected healthcare providers were left struggling financially due to the cyberattack.
Change Healthcare, hackerlara 22 milyon dolarlık fidye ödeyerek, başka bir grup için çalınan verilerin silinmesi adına yeni bir fidye ödemek zorunda kaldı. Nihayetinde, bu olaydan tam yedi ay sonra, 100 milyondan fazla kişinin özel sağlık bilgilerinin çalındığı açıklandı.
Synnovis ve NHS Üzerindeki Etkileri
Haziran ayında, Londra merkezli Synnovis adlı patoloji hizmetleri sağlayıcısı, bir fidye yazılımı saldırısına uğradı. Bu saldırı, Klin fidye yazılım grubunun üstlendiği bu olay, Güneydoğu Londra’daki hastaların kan testlerinin yapılamamasına neden oldu. Ayrıca, çok sayıda dış hastane randevusu ve 1,700’den fazla cerrahi prosedür iptal edildi.
This incident has drawn attention from the leading trade union, Unite, which announced strikes by Synnovis staff. They argued that the attack drastically worsened working conditions, forcing staff to work longer hours without access to essential computer systems.
Snowflake ve Müşteri Saldırıları
Snowflake, bu yıl birçok müşteri üzerinde gerçekleştirilen büyük siber saldırılarla karşı karşıya kaldı. Hackerlar, AT&T, Ticketmaster ve Santander Bank gibi büyük şirketlerin bilgisayarlarında bulunan kötü amaçlı yazılımlardan elde ettikleri oturum açma bilgilerini kullanarak sistemlere girdi. Snowflake’ın tek faktörlü kimlik doğrulama gerekliliğindeki eksiklik, hackerların çok sayıda müşteri verisini çalmasına olanak sağladı. Şirket, daha sonra müşterileri için varsayılan olarak çok faktörlü kimlik doğrulamayı uyguladı.
Columbus, Ohio ve Güvenlik Araştırmacıları
Ohio’nun Columbus şehri, yaz aylarında yaşanan bir siber saldırıyı raporlarken, şehir yöneticileri vacip verilerin “şifrelenmiş veya bozulmuş” olduğunu iddia etti. Ancak bir güvenlik araştırmacısı, çalınan verilerin sosyal güvenlik numaraları, sürücü belgeleri ve diğer kişisel bilgileri içerdiğini tespit etti. Şehir, araştırmacının elde ettiği bilgileri paylaşmasını engellemek için yasal bir adım attı, ancak bu dava daha sonra geri çekildi.
Sektörün Durumu ve Yüzleşmeler
2023, birçok büyük şirkete siber güvenlik konusunda önemli dersler çıkardı. İzlenen kötü yönetimler ve gereken önlemleri almayan şirketler, hem finansal kayıplar hem de itibar kayıpları ile karşı karşıya kaldılar. Bu olaylar, siber güvenliğin önemini bir kez daha gözler önüne serdi. Şirketler, gelecekte benzer olayların yaşanmaması adına güvenlik protokollerini güçlendirmelidir.
