Washington Eyaleti, T-Mobile’a Dava Açtı
ABD’nin Washington eyaleti, T-Mobile‘ı, Ağustos 2021’de meydana gelen veri ihlali öncesinde milyonlarca eyalet sakininin kişisel verilerini yeterince koruyamamakla suçlayarak dava açtı. Bu ihlal, ülke genelinde 79 milyondan fazla müşteriyi etkiledi.
Siber Güvenlik Açıkları ve Yetersiz Önlemler
Washington Başsavcısı Bob Ferguson, açtığı davada T-Mobile’ın, “yıllardır belirli siber güvenlik açıklarından haberdar olduğunu ve bunları düzeltmek için yeterince çaba göstermediğini” açıkladı. Ferguson, davanın eyaletin tüketici koruma yasaları çerçevesinde finansal tazminat talep ettiğini ve T-Mobile’ın siber güvenlik politikalarını geliştirmesi yönünde bir mahkeme emri almayı amaçladığını belirtti.
Ağustos 2021’de gerçekleşen bu hack olayı, T-Mobile’ın son yıllardaki veri ihlalleri serisinin en yenisiydi. TechCrunch’ın raporlarına göre, 2018’den bu yana en az beş siber güvenlik olayı yaşanmıştı. Bu ihlal, bir hackerın T-Mobile’ın sistemlerine erişim sağlayarak müşteri adları, doğum tarihleri, sosyal güvenlik numaraları ve ehliyet bilgileri gibi hassas verileri çalmasına olanak tanıdı. Çalınan bazı verilerin sonradan ünlü bir siber suç forumunda yayımlandığı biliniyor.
T-Mobile’ın Müşterilere Yetersiz Bilgilendirmesi
Ferguson, T-Mobile’ın ihlal sonrasında etkilenen müşterilere sağladığı bilgilendirmelerin “kritik bilgileri eksik bıraktığını ve sorunun ciddiyetini küçümsediğini” belirtti. Bu durum, tüketicilerin kimlik hırsızlığı veya dolandırıcılık risklerini değerlendirirken yaşadığı zorluğu artırdı.
“Bu büyük veri ihlali tamamen önlenebilirdi,” diyen Ferguson, “T-Mobile’ın siber güvenlik sistemlerindeki temel açıkları düzeltmek için yılları vardı ve bunu başaramadı.” şeklinde ifadelerde bulundu.
Davada Yer Alan Güvenlik Açıkları
Dava, Seattle federal mahkemesinde açıldı ve Özellikle haeckin nasıl gerçekleştiğine dair belli bazı teknik ayrıntılar gizlenerek önemli redaksiyonlar içeriyordu. Ancak, iddianame, hackerın T-Mobile’ın sunucalarına erişimini kolaylaştırmış olabileceği güvenlik açıklarını ve iç şirket politikalarını ortaya koyuyor.
İddiaların unredakt edilen bölümleri, hackerın T-Mobile’ı hedef alırken “kolayca tahmin edilebilen bir kullanıcı adı ve şifresi” keşfettiğini; T-Mobile’ın iç sistemlerine erişim için “zayıf şifreler” kullandığını ve hackerın ağ dışında bir IP adresinden bağlanmasına izin verdiğini ortaya koydu. Ayrıca, T-Mobile’ın oturum açma denemelerinde hız sınırlaması uygulamadığı da ifade edildi, böylece hackerın istenilen kadar giriş bilgilerini test edebilmesine olanak sağlandı.
Davada, şirketin “yetersiz izleme ve uyarı yapılandırmalarının” hackerın T-Mobile ağında fark edilmeden sızmasını kolaylaştırdığı da belirtildi.
Ferguson’un ifadesi, T-Mobile’ın kamuya yaptığı açıklamaların siber güvenlik savunmalarının yeterliliğini yanıltıcı bir şekilde sunduğunu ve T-Mobile müşterilerinin verilerinin karanlık webdeki durumu hakkındaki eksik bilgilerin “Washington’daki önemli bir tüketici kitlesini yanıltma kapasitesine sahip olduğunu” vurguladı.
T-Mobile, konu hakkında yorum yapmak için ulaşıldığında, henüz bir açıklamada bulunmadı.
