Bir siber suçlunun bu Salı günü 5,7 milyon Arjantin sürücü belgesinin ön ve arka resimlerini içeren bir dosyayı satışa sunması ve başka bir kullanıcının Renaper kayıtlarını yüklemesinin ardından, bunun etkilenenler için ne gibi riskler içerdiği sorusu en çok dinlenen sorulardan biri oldu: Belge, adres, tam ad gibi kişisel verilerin sızdırılması neden tehlikelidir? Kayıtlarda yer alan imza, kan grubu, sürücünün organ bağışçısı olup olmadığı gibi spesifik bilgilerle ne yapılabilir?
Sızıntılar veya “sızıntılarSiber güvenlik ortamında bilindiği şekliyle (İngilizce dedikleri gibi), bir Devletin, şirketin veya kuruluşun kamuya açıklanması amaçlanmayan dahili bilgilerinin duyurulması anlamına gelir. Farklı türleri var sızıntılardaha az öneme sahip olanlardan daha tehlikeli olanlara.
Son üç hafta boyunca Arjantin büyük sızıntıların baş kahramanı oldu. Bunlardan ilki, ayın başında bir siber suçlunun bir yeraltı forumunda Arjantinlilerin Telegram fotoğraflarını Renaper ile ilgili bir sistemden çıkarmasıyla meydana geldi. İkincisi aynı kullanıcının yükleme yaptığı zamandı Nosis kullanıcılarından oluşan bir veritabanı“Stratejik vatandaş bilgileri” sunan ve adresleri, belgeleri, telefon numaralarını ve iş ilişkileri ve mali kayıtlar gibi diğer verileri içeren, yaygın olarak kullanılan bir site. Ve bu Çarşamba Renaper'dan bir tane daha ortaya çıktı.
Bu hafta sıra ehliyet veri tabanına geldi ve saldırgan, Cumhurbaşkanına provokasyon başlattı. Javier Milei ve Güvenlik Bakanı Patricia Bullrichsattığı örnek dosyadaki lisanslarını açığa çıkararak.
Bu bilgiyle ne yapılabilir? Bu ne tür bir ciddiyettir?
Ehliyetler ve Renaper: sızıntılarla ortaya çıkan tehlikeler
Sürücü belgesi veri sızıntısı. Fotoğraf: Luciano Thieberger
Siber güvenlik şirketi Check Point'in Güvenlik Mühendisliği Müdürü Alejandro Botter, bu özel durumla ilgili olarak bir sızıntıyla ortaya çıkan sorunların türlerini sıraladı.
“Bilgi sızıntılarının etkisi açısından, ilk ve en yaygın olanı genellikle finansal olandır; Siber suçlu kişinin kimliğine bürünür ve kişi adına hizmet kiralayabilir veya kredi talep edebilirsiniz. İkinci nokta ise etkilenen kişiler hakkında bilgi sahibi olan şirket ve kuruluşların itibarının zedelenmesi ve bu bilgilerin mevcut yönetiminin nasıl yapıldığı sorusunu gündeme getirmesidir” dedi.
“Bu son bilgi sızıntılarına istinaden, yeni bir kimlik hırsızlığı veya kimliğe bürünme dönemine girdiğimizi belirtmek gerekir. Siber saldırganın yaptığı şey, tüm bu mevcut bilgilerden oluşan bir bulmacayı bir araya getirmektir; bu nedenle bu sızıntılar, daha büyük bir etkinlik elde ederek büyük bir kaynak oluşturur. Yukarıdakilerle birlikte 2024'ün trendlerinden biri, siber suçluların görüntü ve sesi kopyalayarak kurbanın sesini ve yüzünü bile oluşturabildiği deepfake saldırılarındaki artıştır” diye ekledi.
“Üçüncüsü ve en önemlisi, mali kaybın veya kamuya açık bilgilerinin görüntülenmesi nedeniyle mahremiyetlerinin ihlal edilmesinin, önemli bir duygusal yük taşıyabileceği insanlar üzerindeki duygusal etkidir” diye ekledi.
Aynı zamanda “SIM değiştirme” riski de var: “Bahsetmek istediğim son bir olay da 'SIM Değiştirme' olarak bilinen ve siber suçlunun kurbanın telefonunun kimliğine büründüğü ve şifrelerin “Onlar” olduğunu söyleyen bir saldırıdır. SMS ile gönderiliyor, sosyal ağlara veya WhatsApp gibi mesajlaşma araçlarına erişim sağlanıyor.”
“SIM Değiştirmede kimlik hırsızlığı, telefon hizmetini sağlayan şirket için çok önemlidir ve tüm bu bilgi sızıntısıyla bir bağlantımız var: o kişi hakkında ne kadar çok bilgiye sahip olursanız, o kimlik hırsızlığını yapmak sizin için o kadar kolay olur” analist sözlerini tamamladı.
Security Advisor'ın Siber Güvenlik Hizmet Müdürü David Perez de bu görüşe katıldı ve vatandaşların bu sızıntılarla karşılaşacağı risk türlerini sıraladı.
Ehliyet sızıntısı ve Renaper: kişisel veriler ile hassas veriler arasındaki farklar
Veriler çoğunlukla yer altı forumlarında ve Telegram'da satılıyor. Fotoğraf: Arşiv
Yapılması gereken bir ayrım şu: Kişisel veri nedir ve hassas veri nedir. Tüm kişisel veriler hassas değildir ancak vatandaşlar açısından hassas veriler, belirli bir kişisel veri türüdür.
“Hassas veriler, kişinin mahrem alanına ilişkin olan ve sahibinin izni olmadan kullanılması ayrımcılığa yol açabilecek veya kişinin mahremiyetini ihlal edebilecek verilerdir. 25326 sayılı Kanunun 2. maddesinde hassas veri; ırksal ve etnik kökeni, siyasi görüşleri, dini, felsefi veya ahlaki inançları, sendika üyeliğini ifade eder ve veri sahibinin sağlığına veya cinsel hayatına ilişkin bilgiler” dedi. Zurna Brons & Salas firmasının avukatı María Luján Gallego, Veri Koruma konusunda uzmandır.
“Kişisel veriler, örneğin adı, soyadı, adresi, telefon numarası, e-posta adresi ve diğerlerinin yanı sıra bir kişiyi tanımlayabilen her türlü veridir” diye ekledi. Lisanslarda tam ad, adres, doğum tarihi, imza, kan grubu ve sürücünün organ bağışçısı olması durumunda.
Bu sızıntı durumunda “lisansın tıbbi veri olması nedeniyle hassas sayılabilecek bazı kişisel veriler içerdiği, Kan grubu ve faktörü nedir?”, diye güvence verdi.
Ehliyet sızıntısı ve Renaper karşısında devletin sorumluluğu
Savunma Bakanı Luis Petri ve Güvenlik Bakanı Patricia Bullrich, son sızıntıda ehliyetlerinin açığa çıkmasıyla ortaya çıktı. AFP Fotoğrafı
“Vatandaşların kişisel verilerinin korunması çok önemli. Her sızıntı yalnızca bireysel gizliliği tehlikeye atmakla kalmıyor, aynı zamanda kurumlara olan güveni de zedeleyebiliyor. Verilerin korunması etik bir görevin yanı sıra, Kimlik hırsızlığı gibi risklerden kaçınmak günümüzde bir zorunluluktur, hassas bilgilerin manipülasyonu ve ulusal güvenliğe olası zarar. Veri güvenliğini garanti etmek, bir bütün olarak toplumun bütünlüğünü korumak anlamına gelir,” diye ekledi Güvenlik Danışmanı'ndan Perez.
Gallego, devlete düşen sorumluluğun ne olduğunu şöyle açıkladı: “Bu tür suçları önlemek amacıyla sağlam bilgisayar güvenliği önlemlerine sahip olmamaktan devletin sorumlu olduğu ortaya çıkıyor. Devletin siber güvenliği ciddiye alması gerektiği açıktırVatandaşların güvenliğini sağlamak amacıyla riskleri önlemek ve azaltmak için güvenlik önlemlerinin uygulanması.”
İlginç bir şekilde ehliyet verilerini sızdıran saldırgan da bu görüşe katılıyor. Verileri neden sızdırdığı sorulduğunda şu güvenceyi verdi: “Arjantin rotasını değiştirerek siber güvenliği ciddiye alıyor.”
Bu son lisans sızıntısı, Renaper'den gelen yeni lisans sızıntısıyla birlikte, Arjantin'de bir veri ihmali vakasını daha oluşturuyor. Her ne kadar bu sorun sadece yerel olmasa da, ABD gibi hükümetlerin veritabanlarına izinsiz erişim sağlaması nedeniyle ülkemizde bir olaya bir yenisi daha eklendi.
Bazılarına hatırlatmak gerekirse, Mart 2022'de tanınmış bir fidye yazılımı grubu olan Vice Society, Ulusal Senato'dan gelen dahili bilgileri içeren 30 bin dosya yayınladı. Aynı yıl, Eylül ayında Buenos Aires Yasama Meclisi bir başka tanınmış yeraltı grubu (Play) tarafından saldırıya uğradı.
Bu vakalardan farklı olarak hem 115 bin fotoğrafı olan hem de Renaper Nosis olarak ve artık bu ehliyetler organize bir grup tarafından değil, tek bir kullanıcı tarafından sızdırıldı.
Arjantin'in bu davalar için belirlediği suçlara ilişkin cezalar, 25.326 sayılı yasanın 32. maddesine göre bir aydan iki yıla kadar değişiyor.
Sızıntılar veya “sızıntılarSiber güvenlik ortamında bilindiği şekliyle (İngilizce dedikleri gibi), bir Devletin, şirketin veya kuruluşun kamuya açıklanması amaçlanmayan dahili bilgilerinin duyurulması anlamına gelir. Farklı türleri var sızıntılardaha az öneme sahip olanlardan daha tehlikeli olanlara.
Son üç hafta boyunca Arjantin büyük sızıntıların baş kahramanı oldu. Bunlardan ilki, ayın başında bir siber suçlunun bir yeraltı forumunda Arjantinlilerin Telegram fotoğraflarını Renaper ile ilgili bir sistemden çıkarmasıyla meydana geldi. İkincisi aynı kullanıcının yükleme yaptığı zamandı Nosis kullanıcılarından oluşan bir veritabanı“Stratejik vatandaş bilgileri” sunan ve adresleri, belgeleri, telefon numaralarını ve iş ilişkileri ve mali kayıtlar gibi diğer verileri içeren, yaygın olarak kullanılan bir site. Ve bu Çarşamba Renaper'dan bir tane daha ortaya çıktı.
Bu hafta sıra ehliyet veri tabanına geldi ve saldırgan, Cumhurbaşkanına provokasyon başlattı. Javier Milei ve Güvenlik Bakanı Patricia Bullrichsattığı örnek dosyadaki lisanslarını açığa çıkararak.
Bu bilgiyle ne yapılabilir? Bu ne tür bir ciddiyettir?
Ehliyetler ve Renaper: sızıntılarla ortaya çıkan tehlikeler
Sürücü belgesi veri sızıntısı. Fotoğraf: Luciano Thieberger
Siber güvenlik şirketi Check Point'in Güvenlik Mühendisliği Müdürü Alejandro Botter, bu özel durumla ilgili olarak bir sızıntıyla ortaya çıkan sorunların türlerini sıraladı.
“Bilgi sızıntılarının etkisi açısından, ilk ve en yaygın olanı genellikle finansal olandır; Siber suçlu kişinin kimliğine bürünür ve kişi adına hizmet kiralayabilir veya kredi talep edebilirsiniz. İkinci nokta ise etkilenen kişiler hakkında bilgi sahibi olan şirket ve kuruluşların itibarının zedelenmesi ve bu bilgilerin mevcut yönetiminin nasıl yapıldığı sorusunu gündeme getirmesidir” dedi.
“Bu son bilgi sızıntılarına istinaden, yeni bir kimlik hırsızlığı veya kimliğe bürünme dönemine girdiğimizi belirtmek gerekir. Siber saldırganın yaptığı şey, tüm bu mevcut bilgilerden oluşan bir bulmacayı bir araya getirmektir; bu nedenle bu sızıntılar, daha büyük bir etkinlik elde ederek büyük bir kaynak oluşturur. Yukarıdakilerle birlikte 2024'ün trendlerinden biri, siber suçluların görüntü ve sesi kopyalayarak kurbanın sesini ve yüzünü bile oluşturabildiği deepfake saldırılarındaki artıştır” diye ekledi.
“Üçüncüsü ve en önemlisi, mali kaybın veya kamuya açık bilgilerinin görüntülenmesi nedeniyle mahremiyetlerinin ihlal edilmesinin, önemli bir duygusal yük taşıyabileceği insanlar üzerindeki duygusal etkidir” diye ekledi.
Aynı zamanda “SIM değiştirme” riski de var: “Bahsetmek istediğim son bir olay da 'SIM Değiştirme' olarak bilinen ve siber suçlunun kurbanın telefonunun kimliğine büründüğü ve şifrelerin “Onlar” olduğunu söyleyen bir saldırıdır. SMS ile gönderiliyor, sosyal ağlara veya WhatsApp gibi mesajlaşma araçlarına erişim sağlanıyor.”
“SIM Değiştirmede kimlik hırsızlığı, telefon hizmetini sağlayan şirket için çok önemlidir ve tüm bu bilgi sızıntısıyla bir bağlantımız var: o kişi hakkında ne kadar çok bilgiye sahip olursanız, o kimlik hırsızlığını yapmak sizin için o kadar kolay olur” analist sözlerini tamamladı.
Security Advisor'ın Siber Güvenlik Hizmet Müdürü David Perez de bu görüşe katıldı ve vatandaşların bu sızıntılarla karşılaşacağı risk türlerini sıraladı.
- Gizlilik İhlali: Veri sızıntısı, finansal ayrıntılar, tıbbi kayıtlar veya kişisel iletişimler gibi hassas kişisel bilgilerin açığa çıkmasına ve bireylerin mahremiyetinin ihlal edilmesine yol açabilir.
- Kimlik hırsızlığı: Çalınan kişisel bilgiler kimlik hırsızlığı, dolandırıcılık, finansal hesaplara erişim veya yasa dışı faaliyetlerde bulunmak için kullanılabilir.
- Mali kayıplar: Veri sızıntısı, bireylerin mali bilgilerinin ele geçirilmesi ve yetkisiz işlemler yapmak için kullanılması durumunda mali kayıplara yol açabilir.
- İtibar kaybı: Yaygın veri ihlallerine maruz kalan bir ülke, yaşamak ve iş yapmak için güvenli bir yer olarak itibarına zarar verebilir.
- Ulusal Güvenlik Riskleri: Uygun olduğu durumlarda, hükümet faaliyetleriyle ilgili hassas bilgilerin yetkisiz tarafların eline geçmesi durumunda veri sızıntıları da ulusal güvenlik riskleri oluşturabilir.
- Yasal sonuçlar: Veri sızıntısı, ihlalden sorumlu ülke veya kuruluşlara karşı yasal işlem yapılmasına yol açabilir.
Ehliyet sızıntısı ve Renaper: kişisel veriler ile hassas veriler arasındaki farklar
Yapılması gereken bir ayrım şu: Kişisel veri nedir ve hassas veri nedir. Tüm kişisel veriler hassas değildir ancak vatandaşlar açısından hassas veriler, belirli bir kişisel veri türüdür.
“Hassas veriler, kişinin mahrem alanına ilişkin olan ve sahibinin izni olmadan kullanılması ayrımcılığa yol açabilecek veya kişinin mahremiyetini ihlal edebilecek verilerdir. 25326 sayılı Kanunun 2. maddesinde hassas veri; ırksal ve etnik kökeni, siyasi görüşleri, dini, felsefi veya ahlaki inançları, sendika üyeliğini ifade eder ve veri sahibinin sağlığına veya cinsel hayatına ilişkin bilgiler” dedi. Zurna Brons & Salas firmasının avukatı María Luján Gallego, Veri Koruma konusunda uzmandır.
“Kişisel veriler, örneğin adı, soyadı, adresi, telefon numarası, e-posta adresi ve diğerlerinin yanı sıra bir kişiyi tanımlayabilen her türlü veridir” diye ekledi. Lisanslarda tam ad, adres, doğum tarihi, imza, kan grubu ve sürücünün organ bağışçısı olması durumunda.
Bu sızıntı durumunda “lisansın tıbbi veri olması nedeniyle hassas sayılabilecek bazı kişisel veriler içerdiği, Kan grubu ve faktörü nedir?”, diye güvence verdi.
Ehliyet sızıntısı ve Renaper karşısında devletin sorumluluğu
“Vatandaşların kişisel verilerinin korunması çok önemli. Her sızıntı yalnızca bireysel gizliliği tehlikeye atmakla kalmıyor, aynı zamanda kurumlara olan güveni de zedeleyebiliyor. Verilerin korunması etik bir görevin yanı sıra, Kimlik hırsızlığı gibi risklerden kaçınmak günümüzde bir zorunluluktur, hassas bilgilerin manipülasyonu ve ulusal güvenliğe olası zarar. Veri güvenliğini garanti etmek, bir bütün olarak toplumun bütünlüğünü korumak anlamına gelir,” diye ekledi Güvenlik Danışmanı'ndan Perez.
Gallego, devlete düşen sorumluluğun ne olduğunu şöyle açıkladı: “Bu tür suçları önlemek amacıyla sağlam bilgisayar güvenliği önlemlerine sahip olmamaktan devletin sorumlu olduğu ortaya çıkıyor. Devletin siber güvenliği ciddiye alması gerektiği açıktırVatandaşların güvenliğini sağlamak amacıyla riskleri önlemek ve azaltmak için güvenlik önlemlerinin uygulanması.”
İlginç bir şekilde ehliyet verilerini sızdıran saldırgan da bu görüşe katılıyor. Verileri neden sızdırdığı sorulduğunda şu güvenceyi verdi: “Arjantin rotasını değiştirerek siber güvenliği ciddiye alıyor.”
Bu son lisans sızıntısı, Renaper'den gelen yeni lisans sızıntısıyla birlikte, Arjantin'de bir veri ihmali vakasını daha oluşturuyor. Her ne kadar bu sorun sadece yerel olmasa da, ABD gibi hükümetlerin veritabanlarına izinsiz erişim sağlaması nedeniyle ülkemizde bir olaya bir yenisi daha eklendi.
Bazılarına hatırlatmak gerekirse, Mart 2022'de tanınmış bir fidye yazılımı grubu olan Vice Society, Ulusal Senato'dan gelen dahili bilgileri içeren 30 bin dosya yayınladı. Aynı yıl, Eylül ayında Buenos Aires Yasama Meclisi bir başka tanınmış yeraltı grubu (Play) tarafından saldırıya uğradı.
Bu vakalardan farklı olarak hem 115 bin fotoğrafı olan hem de Renaper Nosis olarak ve artık bu ehliyetler organize bir grup tarafından değil, tek bir kullanıcı tarafından sızdırıldı.
Arjantin'in bu davalar için belirlediği suçlara ilişkin cezalar, 25.326 sayılı yasanın 32. maddesine göre bir aydan iki yıla kadar değişiyor.