Ne oldu şimdi?Devasa bir veri ihlali ortaya çıktı ve Kanada, Birleşik Krallık ve Amerika Birleşik Devletleri’ndeki her bireyi kapsadığı iddia edilen yaklaşık 2,7 milyar kişisel bilgi kaydını açığa çıkardı. Bu ihlal, ifşa edilen muazzam miktardaki veri nedeniyle öne çıkıyor ve potansiyel olarak tarihin en büyüklerinden biri olarak işaretleniyor.
Tarihin en büyük veri ihlali olaylarından biriyle karşı karşıya olabiliriz, ancak etkilenen gerçek kişi sayısı da dahil olmak üzere hâlâ bilmediğimiz çok şey var. Etkileriyle boğuşurken, bu durum veri toplama uygulamalarına, özellikle de kamuya açık olmayan kaynaklardan yetkisiz bilgi toplamaya yakından bakmak için her zamankinden daha iyi bir zamandır. Ancak nihayetinde bu olay, insanların giderek dijitalleşen bir dünyada kişisel bilgilerini korumalarının ne kadar zor olabileceğini vurguluyor.
Ele geçirilen veri, adlar, adresler ve Sosyal Güvenlik numaraları gibi hassas bilgileri içeriyor ve bildirildiğine göre meşru amaçlar için veri toplayan ve satan bir şirketten kaynaklanıyor.
Verinin, Jerico Pictures Inc. altında faaliyet gösteren bir geçmiş kontrol şirketi olan National Public Veri’den (NPD) çalındığına inanılıyor. NPD, geçmiş kontrolleri ve ilgili hizmetler için satmak üzere kamu kayıtlarından bilgi topluyor. Ancak, NPD’nin ayrıca bireylerden izin almadan kamuya açık olmayan kaynaklardan veri topladığını iddia eden bir dava açıldı.
Dava ayrıca NPD’nin emanet sorumluluklarını ihlal ettiğini ve diğer suçların yanı sıra haksız kazançlar elde ettiğini iddia ediyor. NPD şimdiye kadar ihlali resmi olarak doğrulamadı veya nasıl gerçekleştiğini ayrıntılı olarak açıklamadı.
Başlangıçta, USDoD olarak bilinen bir bilgisayar korsanı veri hırsızlığının sorumluluğunu üstlendi ve bilgileri 3,5 milyon dolara satmaya çalıştı. USDoD daha önce, Aralık 2023’te InfraGard’ın kullanıcı veritabanını 50.000 dolara satma girişimi de dahil olmak üzere başka ihlallerle ilişkilendirilmişti.
Durum, 6 Ağustos’ta Fenice isimli bir kullanıcının çalınan verinin en eksiksiz olduğu düşünülen sürümünü bir bilgisayar korsanlığı forumunda ücretsiz olarak yayınlamasıyla yeni bir boyut kazandı ve ihlali başka bir bilgisayar korsanı olan SXUL’a bağladı.
İhlalin ardından Florida’da NPD’ye karşı bir toplu dava açıldı. USDoD’nin veritabanını satışa çıkardığını ve 2,9 milyar kayıt içerdiğini iddia ettiğini bildiren bir siber güvenlik eğitim web sitesi olan VX-Underground’a atıfta bulunuyor. VX-Underground, veritabanının gelişmiş bir kopyasını aldıktan sonra verinin gerçek ve doğru olduğunu doğruladı – devasa 277,1 GB’lık bir dosya.
Bu doğrulama iddialarına rağmen, ihlal, nüfus verilerindeki tutarsızlıklar nedeniyle soruları gündeme getiren, 2,9 milyardan fazla kişi hakkında bilgi içerdiği iddia edilen bir veritabanını içeriyor. ABD nüfusu 1 milyarın oldukça altında ve küresel nüfus yaklaşık 8,07 milyar, bu da ihlalden etkilenen gerçek kişi sayısı hakkında belirsizliğe yol açıyor.
Doğrulama çabaları da zorluklarla karşılaştı. Dolayısıyla sızıntının her ABD vatandaşı için veri içerip içermediği bilinmiyor. Bazı kişiler ayrıntılarının dahil edildiğini doğrulasa da yanlış Sosyal Güvenlik numaraları ve güncel olmayan adres verisi gibi sorunlar, bilgilerin eski bir yedekten kaynaklanabileceğini düşündürüyor.
Ayrıca, birçok kişinin, yaşadıkları her adres için birer tane olmak üzere birden fazla kaydı bulunuyor ve bu da ihlalin gerçek etkisinin değerlendirilmesini zorlaştırıyor.
İhlalin ışığında, bireylere kredi raporlarını dolandırıcılık faaliyetleri açısından izlemeleri ve e-posta ve SMS yoluyla kimlik avı girişimlerine karşı dikkatli olmaları tavsiye ediliyor. Sızıntı, e-posta adreslerini ve telefon numaralarını içeriyor ve hedefli saldırı riskini artırıyor.