Gelmiş Geçmiş En Büyük Siber Güvenlik Veri Sızıntıları / Bölüm I

1. Yahoo Veri İhlali Rekoru

Milyarlarca kullanıcıyı etkileyen bu siber saldırı, tarihin en kapsamlı ve yıkıcı veri ihlali olarak kayıtlara geçmiştir.

2013-2016 yılları arasında gerçekleşen saldırılarla, 3 milyardan fazla Yahoo kullanıcı hesabı siber suçlular tarafından ifşa edildi. Rus hackerlar; yedekler ve erişim çerezleri aracılığıyla kişisel verileri, şifreleri ve güvenlik sorularını ele geçirmeyi başardı. Bu devasa ihlal, şirketin piyasa değerini düşürdü ve açıklama sürecindeki gecikmeler nedeniyle ciddi yasal yaptırımlara yol açtı.

2. NPD Veri Sızıntısı Krizi

Yanlış yapılandırılmış veritabanı, milyarlarca hassas kaydın açığa çıkmasına ve güvenlik ihmallerinin sorgulanmasına neden oldu.

Mart 2024’te National Public Data, güvenlik önlemlerindeki eksiklikler nedeniyle 2,9 milyar veri kaydını sızdırarak büyük bir krize yol açtı. İhlal, 1,3 milyar bireyin sosyal güvenlik numaraları ve fiziksel adresleri dahil olmak üzere kritik bilgilerini riske attı. Bu olay, veri aracı kurumlarındaki denetimsizliğin ve temel erişim kontrollerinin ihmalinin yıkıcı etkilerini gözler önüne serdi.

3. Microsoft Exchange Sunucu Saldırısı

Sıfır gün açıkları kullanılarak on binlerce işletmenin e-posta altyapısı hedef alındı ve küresel kriz oluştu.

Ocak 2021'de Hafnium grubu, Microsoft Exchange sunucularındaki dört farklı "sıfır gün" açığını kullanarak 30.000 ABD şirketine sızdı. Saldırganlar, sistemlere arka kapılar yerleştirerek verileri çaldı ve kötü amaçlı yazılımlar dağıtarak sunucuları ele geçirdi. Bu durum, yerel sunucu güvenliğinin ve yama yönetiminin kurumlar için hayati önem taşıdığını kanıtladı.

4. Emlak Veri Ağı Sızıntısı

Milyarlarca emlak kaydı ve ünlülerin özel bilgileri, şifresiz sistem erişimi yüzünden tüm dünyaya ifşa oldu.

Aralık 2023’te Real Estate Wealth Network, 1,5 milyar hassas kaydı korumasız bırakarak büyük bir sızıntıya imza attı. Mülk geçmişleri, ipotek detayları ve ünlü isimlerin özel mülk verileri, şifre koruması olmayan klasörler nedeniyle açığa çıktı. Olay, siber dolandırıcılık ve sosyal mühendislik saldırıları için suçlulara benzeri görülmemiş bir veri havuzu sundu.

5. PDL Veri Birleştirme Riski

Güvenli olmayan bulut sunucusu, milyarlarca kişisel verinin tek bir noktadan sızmasına zemin hazırladı.

2019 yılında, People Data Labs’e ait 1,2 milyar kayıt, şifresiz ve yanlış yapılandırılmış bir veritabanı nedeniyle internete sızdırıldı. Doğrudan finansal veri içermese de, birleştirilmiş sosyal medya profilleri ve iletişim bilgileri kimlik avı saldırıları için ideal bir kaynak oluşturdu. Bu vaka, veri toplama sektöründe bulut güvenliği hijyeninin ihmal edilemez olduğunu gösterdi.

6. Tasarım Hatası Kaynaklı Sızıntı

Basit bir web sitesi tasarım hatası, yüz milyonlarca finansal belgenin herkesçe görülmesine yol açtı.

Mayıs 2019’da First American Financial, web sitesindeki bir URL hatası (IDOR) nedeniyle 885 milyon belgeyi erişime açık bıraktı. Kimlik doğrulama gerektirmeyen bu açık, banka hesap numaraları ve kredi belgelerinin sadece link değiştirilerek görüntülenmesine neden oldu. Şirket, erken uyarıları dikkate almadığı için SEC tarafından ağır para cezasına çarptırıldı.

7. Facebook Küresel Veri İhlali

Sosyal medya devinin güvenlik açığı, yarım milyardan fazla kullanıcının kişisel verilerini siber suçlulara sundu.

Nisan 2021’de Facebook, kişi senkronizasyon aracındaki bir açık nedeniyle 530 milyon kullanıcının verilerini kaptırdı. Bilgisayar korsanları, bu açığı kullanarak telefon numaraları, isimler ve kişisel detayları içeren devasa bir veritabanı oluşturup sızdırdı. Bu sızıntı, platformların üçüncü taraf erişim kontrollerini ve API güvenliğini ne kadar sıkı tutması gerektiğini hatırlattı.

8. LinkedIn Veri Kazıma Olayı

Platformun API açıkları, kullanıcı tabanının neredeyse tamamının bilgilerinin toplanmasına ve satışına neden oldu.

2021’de LinkedIn kullanıcılarının %93’ünü etkileyen bir olayda, 700 milyon profil verisi otomatik "veri kazıma" (scraping) yöntemiyle ele geçirildi. İsimler, konumlar ve iletişim detayları, hacker forumlarında satışa sunularak kimlik avı ve fidye saldırılarına kapı araladı. Olay, kamuya açık verilerin bile birleştirildiğinde nasıl büyük bir tehdit oluşturabileceğini gösterdi.

9. Syniverse Uzun Süreli Sızıntı

Telekomünikasyon altyapısındaki kritik bir sağlayıcı, beş yıl boyunca fark edilmeyen bir sızıntıya maruz kaldı.

2021’de Syniverse, sistemlerine beş yıldır yetkisiz erişim sağlandığını ve 500 milyon kaydın etkilendiğini itiraf etti. Küresel operatörleri birbirine bağlayan bu altyapıdaki açık, verilerin ve SMS trafiğinin yıllarca izlendiğini ortaya çıkardı. Bu uzun süreli ihlal, kritik altyapılarda tehdit tespit mekanizmalarının yetersizliğini gözler önüne serdi.

10. Sağlık Sektöründe Fidye Krizi

Kritik sağlık altyapısına yapılan fidye saldırısı, ödeme sistemlerini felç ederek hasta bakımını tehdit etti.

2024 yılında Change Healthcare, Çok Faktörlü Kimlik Doğrulama (MFA) eksikliği nedeniyle büyük bir fidye yazılımı saldırısına uğradı. 145 milyon kaydın sızdığı ve sistemlerin çöktüğü olay, hastanelere yapılan ödemeleri durdurarak sağlık hizmetlerini felç etti. Saldırı, sağlık sektöründe "tek hata noktalarının" (SPoF) yarattığı sistemik riski acı bir şekilde gösterdi.