Kredi derecelendirme şirketi Equifax’ın 2017’de 143 milyon ABD’li müşteriyi kimlik hırsızlığına maruz bıraktığı büyük veri ihlalinin üzerinden 2 yıl geçti ancak hala tüm zamanların en kötü ihlallerinden biri olarak kabul ediliyor. İhlal ile ilgili ortaya çıkan son bulgu ise oldukça çarpıcı. Hazırlanan rapora göre şirket, kredi anlaşmazlıklarını yönetmek için kullandığı bir portala erişim yetkisi vermek için hem kullanıcı adı hem de parola olarak “admin” kelimesini kullanmış. Şirket verilerinin korunmasında hem çok faktörlü kimlik doğrulaması hem de benzersiz zor şifreler kullanılması gerektiği belirtiliyor. Bitdefender Türkiye Genel Müdürü Barbaros Akkoyunlu’ya göre, Equifax gibi kritik birçok veriye sahip olan bir şirketin dahi basit güvenlik önlemlerini göz ardı etmesi, insan hatalarından kaynaklanabilecek güvenlik problemlerinin boyutunu gözler önüne seriyor.
700 Milyon $ Ceza Kesilmişti
Equifax veri sızıntısı ABD tarihinin en büyük siber saldırısı olarak tanımlanmıştı. Çünkü ülke nüfusunun yaklaşık yarısını etkilemişti. Dışarıya sızan bilgiler arasında müşterilerin isimleri, sosyal güvenlik numaraları, doğum tarihleri ve sürücü belgelerinin bulunduğu kaydedilmişti. Temmuz ayında ABD Federal Ticaret Komisyonu (FTC), Equifax’ın federal ve eyalet düzenleyicileriyle yaşanan veri ihlali üzerine anlaşmaya vardığını belirtmiş ve şirket 700 milyon $’a kadar tazminat ödemeyi kabul etmişti.
Hem Kullanıcı Adı Hem De Şifre Olarak “Admin” Kullanılmış
Equifax’ın suçlandığı diğer başlıklar ise şöyle:
- Yeterli bir yama yönetimi süreci gerçekleştiremedi, aynı zamanda siber güvenlik altyapısındaki bilinen eksiklikleri gideremedi.
- Yama sürecini tüm ağında manuel olarak uygulamak için tek bir kişiye güvendi.
- Hassas verileri şifreleyemedi, düz metin olarak sakladı ve yetkisiz kullanıcıların okumasını ve yanlış kullanmasını kolaylaştırdı.
- Web sitesi sunucusunu tehlikeye atan herhangi bir saldırganın bu kişisel verilere plaintext ile hemen erişebilmesini sağlayan, halka açık ve yaygın olarak kullanılan bir web sitesi aracılığıyla erişilebilen şifrelenmemiş hassas veriler bıraktı.
- Savunmasız mobil uygulamaları şifreleyemedi, bu nedenle şifrelenmemiş verileri internet üzerinden aktarılmasına neden oldu.
- Verileri şifrelemek için kullandığı şifre çözme anahtarlarını herkese açık bıraktı.
Ve liste uzayıp devam ediyor. Ancak belki de Equifax’daki en büyük problem, kimlik doğrulama departmanındaydı. Özellikle, çok faktörlü kimlik doğrulaması yapamadı. Böylece kredi anlaşmazlıklarını yönetmek için kullanılan bir portala erişim yetkisi vermek için hem kullanıcı adı hem de parola olarak “admin” kullandı.
Barbaros Akkoyunlu, milyonlarca kişinin oldukça hassas verilerine sahip bir şirketin default bir şifreyi kullanmasının oldukça büyük bir ihmal olduğunu belirtiyor. Bu tarz verileri korumak başta olmak üzere şifre gerektiren tüm kişisel veya kurumsal hesaplarda rakamlar ile harflerin beraber bulunduğu, kırılması zor alfa-numerik şifrelerin seçilmesi gerektiğini, uzun ve karmaşık şifreler oluşturmakta ve yönetmekte zorluk çekiliyorsa Bitdefender Password Manager gibi bir şifre yöneticisi kullanılmasını öneriyor.
Kaynak : 