ABD merkezli sigorta sağlayıcısı AssuranceAmerica, 6,9 milyon kişinin kişisel bilgilerini ve ehliyet numaralarını etkileyen büyük bir veri ihlalini doğruladı. Bu olay, bu yıl Amerikalıların ehliyet bilgilerinin sızdırıldığı en büyük vaka olarak kayıtlara geçti. 1998 yılında kurulan şirket, onlarca ABD eyaletinde araba ve kiralık araç sigortası sunuyor. Büyük bir sigorta sağlayıcısı olarak, potansiyel müşteriler ve araç sürücüleri hakkında devlet tarafından verilen ehliyetler de dahil olmak üzere büyük miktarda hassas bilgi işliyor. Kötü niyetli bir kişinin elinde, bir ehliyet numarası dolandırıcılık ve kimlik hırsızlığı için kullanılabilir.
TechCrunch tarafından görülen ve müşterilere gönderilen veri ihlali bildiriminde AssuranceAmerica, 17 Mart'ta bilgisayar sistemlerinde bilgisayar korsanlarını keşfettiğini belirtti. Şirket, soruşturmasını 15 Haziran'da tamamladı ve bilgisayar korsanlarının müşterilerin adlarını, iletişim bilgilerini ve ehliyet numaralarını çaldığını tespit etti. Bildirimde ayrıca, bilgisayar korsanlarının müşterilerin araba sigortası poliçeleri ve hesapları, sürücüler ve araçlar hakkındaki bilgiler ile müşteri talepleriyle ilgili ayrıntıları da aldığı belirtildi. Şirket, hangi diğer kişisel bilgi türlerinin alındığına dair ayrıntı vermedi.
AssuranceAmerica, ihlalin spesifik nedenini belirtmedi ancak bilgisayar korsanlarının 'şirketin bir çalışanını hedef aldığını' ve şirketin daha sonra 'tehlikeye atılan kimlik bilgilerini devre dışı bıraktığını' kaydetti. Bu kimlik bilgilerinin nasıl çalındığı net değil, ancak daha önce çalınan çalışan kimlik bilgilerini içeren olaylar, şifre çalan kötü amaçlı yazılımlara veya güvenliği ihlal edilmiş yazılımların kullanımına bağlanmıştı. TechCrunch, olayla ilgili sorularını CEO Joe Skruck ve kurucu Guy Millner'a e-postayla gönderdi ancak yanıt alamadı.
Sonuç ve Değerlendirme
Indiana başsavcılık ofisine yapılan veri ihlali bildirimine göre AssuranceAmerica, ihlalin 6,99 milyon kişiyi etkilediğini ve bildirim mektuplarının 10 Temmuz'da gönderileceğini belirtti. Maine başsavcılık ofisi tarafından TechCrunch'ın talebi üzerine paylaşılan ayrı bir kopya da etkilenen kişi sayısını 6,99 milyon olarak listeliyor. (Maine'in veri ihlali portalı, geçen ay web sitesinde sahte bir ihlal açıklaması yayınlandıktan sonra şu anda çevrimdışı ve inceleme altında.)
Nasıl Önlem Alınmalı?
AssuranceAmerica'daki olay, son aylarda ehliyet ve diğer kimlik belgelerini etkileyen bir dizi veri ihlalinin ardından geldi. Haziran ayında Teksas eyalet hükümeti, bilgisayar korsanlarının eyaletin parklar ve yaban hayatı bölümünü etkileyen bir veri ihlali sırasında en az 3 milyon ehliyet ve pasaport numarasının bilgilerini çaldığını söyledi. TechCrunch daha önce, bir otel giriş sistemi, bir para transferi uygulaması, bir hapishane ankesörlü telefon sağlayıcısı ve bir Birleşik Krallık vize hizmeti de dahil olmak üzere milyonlarca devlet tarafından verilmiş kimlik belgesini sızdıran birkaç güvenlik açığını bildirmişti.
Detaylar ve Etkileri
Bu veri sızıntıları, web siteleri ve uygulamaların, kullanıcılardan yasal olarak erişmek için yeterince yaşlı olduklarını kanıtlamalarını talep etmesi ve hükümetlerin yaş doğrulama yasalarını uygulamaya koyma yönündeki küresel baskısıyla birlikte geliyor. Bu durum, hassas kimlik bilgilerinin korunmasının önemini bir kez daha ortaya koyuyor. Kullanıcıların, kişisel bilgilerini paylaşırken dikkatli olmaları ve şirketlerin güvenlik önlemlerini sorgulamaları gerekiyor.
Kaynak: techcrunch.com