1. Anasayfa
  3. Genel
  5. Müşteriyken ‘ürün’ olduk
Genel

Müşteriyken ‘ürün’ olduk

admin admin -

- 12 dk okuma süresi
2 0

MİTHAT YURDAKUL / HİLAL ÖZTÜRK- E-ticaretten aboneliklere kadar internette pek çok yerde paylaşılan şahsî bilgiler, pazarlama teknikleri için şirketler tarafından depolanıyor. Bu durum güvenlik açısından risk oluşturuyor. Son olarak iki global markanın Şahsî Bilgileri Müdafaa Kurumu’na (KVVK) yaptığı bildirim, büyük bilgi hırsızlıklarını ortaya çıkardı.

Adidas tarafından yapılan bildirimde 17 Mayıs’ta ihlalin tespit edildiği, olayın bir kişinin Adidas müşteri datalarına sahip olduğunu argüman etmesiyle açığa çıktığı belirtildi. İnceleme sonucunda şahıs tarafından paylaşılan belgenin büyük olasılıkla Adidas müşteri bilgilerini içerdiği ve Türk müşterilerin de olaydan etkilendiği tespit edildi. İhlalden etkilenen kişi sayısının 544 bin 395 olduğu belirlendi. Sızıntıdan etkilenen ferdî bilgilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu belirtildi.

Fidye istediler

Christian Dior tarafından Kurul’a iletilen bildiriminde ise 26 Ocak’ta müşteri alakaları idaresi veritabanında tutulan etkin, pasif ve potansiyel müşterilere ilişkin şahsî datalara yetkisiz erişim gerçekleştiği kaydedildi. Bildirime nazaran siber saldırıyı gerçekleştiren şahıs, dataları ifşa etme tehdidinde bulunarak fidye talep etti. İhlalden etkilenen kişi sayısı kesin olarak tespit edilemedi. Sızıntıdan etkilenen ferdî bilgilerin; isim, cinsiyet, doğum tarihi, yaş, adres, e-posta telefon numaraları, şifre, pasaport bilgileri, kimlik evrakları, genel tercih bilgileri (yeme-içme, etkinlikler, hobiler vb.), satın alma geçmişi üzere datalar olduğu tespit edildi.

UZMANLAR DEĞERLENDİRDİ

Milliyet, ferdî datalar nasıl çalınıyor, bu datalar neden değerli, sızıntıyı önlemek mümkün mü, bilgilerin maddi pahası nedir sorularını uzmanlara yöneltti…

Etik Hacker Tamer Şahin: Artık data, petrolün yerini aldı. Evvelce nasıl petrol bulmak kolay ancak çıkarmak zorsa, artık de bilgi bulmak kolay lakin maksatlı bilgi bulmak ve bu datayı manalandırmak sıkıntı. O yüzden firmalar yanlışsız müşteriye ulaşmak ve onunla bağlantısı devam ettirmek için farklı kaynaklardan topladıkları dataları, data madenciliği usulleri ve yapay zekâyı da birleştirerek işliyorlar.

Kullanıcı çaresiz

* Müşterilerin kendini korumak için yapabilecekleri fazla bir şey yok. Firmalar kimi vakit satın alma sürecinde, kimi vakit kampanyalar sunarak bu bilgileri topluyor. Tek yapılabilecek KVKK kapsamında ellerindeki tüm ferdî bilgilerimizi silmelerini istemek. Ancak bu durumda bile birtakım datalar sistemlerinde kalıyor.

* Yeme alışkanlığı, tatil alışkanlığı, marka gibi alışkanlıklar… Bu mu bedelli olan? Evet. Bilhassa maddi durumu belirleyen birtakım göstergeler dikkat çekiyor. Bu bilgiler kitlesel siber akınlarda ve öbür devletlerin toplum mühendisliği alanındaki operasyonları için çok değerli.

* Şöyle düşünelim İstanbul’un Etiler, Nişantaşı üzere bölgelerinde oturan 45-65 yaş ortasında ve lüks segmentte araba kullanan bireylerin bilgilerinin fiyatı milyon liraları bulabiliyor. Değerli olan maksatlı ve işlenmiş, doğrulanmış bilgi. Öteki şahsî bilgiler ise tanesi 2-3 dolardan satılabiliyor. Bu satışlar DeepWeb yahut kapalı diğer platformlar üzerinden yapılıyor. 

‘Dolandırıcılar satın alabiliyor’

Siber Güvenlik Mühendisi Sedat Özdemir: Bir kişinin tam profili (adı, soyadı, e-posta, telefon, adres, kredi kartı üzere bilgiler) ortalama 5-50 dolar ortasında alıcı bulabiliyor. Veritabanları halinde satıldığında bu sayılar yüz binlerce doları bulabiliyor.

* Bilgileri satın alanlar çoklukla kimlik avı (phishing) saldırısı yapacak dolandırıcılar, toplumsal mühendislik teknikleriyle şirket içi sızmalara hazırlanan hacker kümeleri, uydurma kredi kartları üretip kara para aklayan yapılar, spam ve reklam emeliyle pazarlama yapan yasa dışı tertipler. Yani sizin bir alışveriş sitesine üye olurken verdiğiniz bilgiler, öbür bir ülkede bir dolandırıcının cep telefonuna düşebiliyor. Bu da sizi, bir kabahat zincirinin halkası yapıyor.

Bir link yeterli

* Saldırganlar birçok vakit çalışanların e-posta adreslerine geçersiz link gönderiyor, bir evrak indirtip içeri sızıyor. Bazen de yanlış yapılandırılmış sunucular, eski yazılım sürümleri ya da yetersiz log idaresi üzere ihmaller, saldırganlara davetiye çıkarıyor.

Korsanlardan korunma kılavuzu

* Her platform için farklı ve güçlü şifreler kullanın.
* İki faktörlü kimlik doğrulamayı etkin hale getirin.
* Alışveriş sitelerinde kart bilgilerinizi kayıtlı tutmayın.
* Hangi sitelere kayıt olduğunuzu takip edin, gerekirse üyeliklerinizi silin.
* İnternet tarayıcısı üzerinden kayıtlı çerezleri silmek, çerezleri baştan reddetmek de tedbirler ortasında.

MİTHAT YURDAKUL / HİLAL ÖZTÜRK- E-ticaretten aboneliklere kadar internette pek çok yerde paylaşılan ferdî bilgiler, pazarlama usulleri için şirketler tarafından depolanıyor. Bu durum güvenlik açısından risk oluşturuyor. Son olarak iki global markanın Şahsî Bilgileri Muhafaza Kurumu’na (KVVK) yaptığı bildirim, büyük data hırsızlıklarını ortaya çıkardı.

Adidas tarafından yapılan bildirimde 17 Mayıs’ta ihlalin tespit edildiği, olayın bir kişinin Adidas müşteri bilgilerine sahip olduğunu tez etmesiyle açığa çıktığı belirtildi. İnceleme sonucunda şahıs tarafından paylaşılan evrakın büyük olasılıkla Adidas müşteri bilgilerini içerdiği ve Türk müşterilerin de olaydan etkilendiği tespit edildi. İhlalden etkilenen kişi sayısının 544 bin 395 olduğu belirlendi. Sızıntıdan etkilenen ferdî bilgilerin; isim, e-posta adresi, cinsiyet, doğum tarihi ve telefon numarası olduğu belirtildi.

Fidye istediler

Christian Dior tarafından Kurul’a iletilen bildiriminde ise 26 Ocak’ta müşteri münasebetleri idaresi veritabanında tutulan etkin, pasif ve potansiyel müşterilere ilişkin ferdî bilgilere yetkisiz erişim gerçekleştiği kaydedildi. Bildirime nazaran siber saldırıyı gerçekleştiren şahıs, bilgileri ifşa etme tehdidinde bulunarak fidye talep etti. İhlalden etkilenen kişi sayısı kesin olarak tespit edilemedi. Sızıntıdan etkilenen ferdî dataların; isim, cinsiyet, doğum tarihi, yaş, adres, e-posta telefon numaraları, şifre, pasaport bilgileri, kimlik evrakları, genel tercih bilgileri (yeme-içme, etkinlikler, hobiler vb.), satın alma geçmişi üzere datalar olduğu tespit edildi.

UZMANLAR DEĞERLENDİRDİ

Milliyet, ferdî bilgiler nasıl çalınıyor, bu bilgiler neden değerli, sızıntıyı önlemek mümkün mü, dataların maddi bedeli nedir sorularını uzmanlara yöneltti…

Etik Hacker Tamer Şahin: Artık bilgi, petrolün yerini aldı. Evvelce nasıl petrol bulmak kolay ancak çıkarmak zorsa, artık de data bulmak kolay fakat gayeli bilgi bulmak ve bu bilgiyi manalandırmak sıkıntı. O yüzden firmalar yanlışsız müşteriye ulaşmak ve onunla irtibatı devam ettirmek için farklı kaynaklardan topladıkları bilgileri, data madenciliği metotları ve yapay zekâyı da birleştirerek işliyorlar.

Kullanıcı çaresiz

* Müşterilerin kendini korumak için yapabilecekleri fazla bir şey yok. Firmalar kimi vakit satın alma sürecinde, kimi vakit kampanyalar sunarak bu bilgileri topluyor. Tek yapılabilecek KVKK kapsamında ellerindeki tüm şahsî bilgilerimizi silmelerini istemek. Lakin bu durumda bile kimi datalar sistemlerinde kalıyor.

* Yeme alışkanlığı, tatil alışkanlığı, marka gibi alışkanlıklar… Bu mu kıymetli olan? Evet. Bilhassa maddi durumu belirleyen birtakım göstergeler dikkat çekiyor. Bu bilgiler kitlesel siber taarruzlarda ve başka devletlerin toplum mühendisliği alanındaki operasyonları için çok değerli.

* Şöyle düşünelim İstanbul’un Etiler, Nişantaşı üzere bölgelerinde oturan 45-65 yaş ortasında ve lüks segmentte araba kullanan şahısların bilgilerinin fiyatı milyon liraları bulabiliyor. Değerli olan maksatlı ve işlenmiş, doğrulanmış data. Öbür şahsî datalar ise tanesi 2-3 dolardan satılabiliyor. Bu satışlar DeepWeb yahut kapalı öbür platformlar üzerinden yapılıyor. 

‘Dolandırıcılar satın alabiliyor’

Siber Güvenlik Mühendisi Sedat Özdemir: Bir kişinin tam profili (adı, soyadı, e-posta, telefon, adres, kredi kartı üzere bilgiler) ortalama 5-50 dolar ortasında alıcı bulabiliyor. Veritabanları halinde satıldığında bu sayılar yüz binlerce doları bulabiliyor.

* Dataları satın alanlar ekseriyetle kimlik avı (phishing) saldırısı yapacak dolandırıcılar, toplumsal mühendislik teknikleriyle şirket içi sızmalara hazırlanan hacker kümeleri, geçersiz kredi kartları üretip kara para aklayan yapılar, spam ve reklam maksadıyla pazarlama yapan yasa dışı tertipler. Yani sizin bir alışveriş sitesine üye olurken verdiğiniz bilgiler, öteki bir ülkede bir dolandırıcının cep telefonuna düşebiliyor. Bu da sizi, bir cürüm zincirinin halkası yapıyor.

Bir link yeterli

* Saldırganlar birden fazla vakit çalışanların e-posta adreslerine düzmece link gönderiyor, bir evrak indirtip içeri sızıyor. Bazen de yanlış yapılandırılmış sunucular, eski yazılım sürümleri ya da yetersiz log idaresi üzere ihmaller, saldırganlara davetiye çıkarıyor.

Korsanlardan korunma kılavuzu

* Her platform için farklı ve güçlü şifreler kullanın.
* İki faktörlü kimlik doğrulamayı etkin hale getirin.
* Alışveriş sitelerinde kart bilgilerinizi kayıtlı tutmayın.
* Hangi sitelere kayıt olduğunuzu takip edin, gerekirse üyeliklerinizi silin.
* İnternet tarayıcısı üzerinden kayıtlı çerezleri silmek, çerezleri baştan reddetmek de tedbirler ortasında.

Kaynak : Milliyet
Etiketler

İlgili Yazılar

Genel

‘Sıkıntıyı biliyoruz önlemini alıyoruz’

admin
Genel

ABD’deki Türk öğrencilerin eğitim ve vize tasası… Trump Harvard’a kafayı taktı

admin
Genel

Yeni trafik düzenlemesi: Magandalara ağır cezalar geliyor

admin

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir