2019 Yılında Kişisel Bilgi Sızıntısı ve Kayıp Olaylarının Eğilimleri

Tokyo Ticaret Araştırması’na göre, 2019 yılında halka açık şirketler ve iştirakleri, kişisel bilgi sızıntıları ve kayıp olaylarını 66 şirket, 86 olay ve 9.031.734 kişinin kişisel bilgileri olmak üzere açıkladı. 2019 yılında, kişisel bilgilerin 1 milyonun üzerinde sızdığı büyük olaylar iki kez meydana geldi ve perakende devi Seven & I Holdings’in tanıttığı ödeme hizmeti ‘7pay’ haksız kullanım nedeniyle hizmeti durdurmak zorunda kaldı. Bu durum, güvenlik önlemlerinin önemini bir kez daha vurgulayan bir yıl oldu.

Takuhai File Service Durumunda

Osaka Gas’ın tamamen sahip olduğu Aegis Genel Araştırma’nın yürüttüğü dosya transfer hizmeti ‘Takuhai File Service’ ile ilgili olarak, 22 Ocak 2019’da (2019) sunucuda şüpheli bir dosya bulundu ve bir bilgi sızıntısı ortaya çıktı. Ek incelemeler sonucunda şüpheli erişim kayıtları da tespit edildi ve zararın önlenmesi için 23 Ocak’ta hizmet durduruldu ve ilk rapor yayınlandı. 25 Ocak’ta bilgi sızıntısı doğrulandı.

Sızıntıya uğrayan dosya sayısı 4.815.399’dur (ücretli üyeler: 22.569, ücretsiz üyeler: 4.753.290, üyelikten çıkanlar: 42.501) ve sızıntı içeriği isim, giriş için e-posta adresi, giriş şifresi, doğum tarihi, cinsiyet, meslek / sektör / pozisyon, ikametgahın bulunduğu il ismi vb. idi. Bu sızıntı sayısı, 2014’te (2014) Benesse’de ortaya çıkan ve bir taşeron çalışanın 35.04 milyon kişinin kişisel bilgilerini haksız yere elde ettiği olayın ardından tarihin ikinci en büyük kaydıdır.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Daha sonra, Aegis Genel Araştırma, güvenlik denetimlerini ve güçlendirmelerini gerçekleştirirken bir iyileştirme planı üzerinde çalıştı, ancak sistem yeniden yapılandırma planı belirsiz kaldı ve hizmetin 31 Mart 2020’de (2020) sona ereceği 14 Ocak 2020’de (2020) açıklandı.

‘Takuhai File Service’ye kayıtlı e-posta adresi ve giriş şifresi, aynı kullanıcı kimliği (e-posta adresi) ve giriş şifresini kullanarak diğer web hizmetlerini kullananlar için, sızıntı bilgilerini elde eden üçüncü tarafların ilgili web hizmetine izinsiz giriş yapması, yani ‘sahte’ erişimlerin gerçekleşme riski de bulunmaktadır.

Toyota Mobility Şirketi Örneği

Toyota’nın satış iştiraki olan Toyota Mobility, 21 Mart 2019’da (2019) bir siber saldırıya uğradı ve sistem altyapısını paylaşan toplam 8 ilgili satış şirketi hedef alındı. Ağ sunucusundan en fazla 3.1 milyon kişisel bilginin sızdığı olasılığı açıklandı. Neyse ki, kredi kartı bilgilerinin sızmadığı açıklandığından, mali sorunların doğrudan ortaya çıkma olasılığı düşük olabilir. Ancak, bu bilgiler araba satın alan müşterilere ait olduğundan, liste brokerleri arasında yüksek bir fiyata işlem görmüş olabilir ve zararın yayılmasını engellemek mümkün olmayabilir.

Toyota Mobility, bir Gizlilik İşareti (P Mark) almasına rağmen, bu tür bir kişisel bilgi sızıntısı sorununa yol açtığından, gelecekteki güvenlik önlemlerinde önemli bir seçim yapmak zorunda kalabilir. Ayrıca, bu kişisel bilgi sızıntısı, mevcut güvenlik önlemlerinin önleyemeyeceği bir şeyi kanıtlıyor. Gizlilik İşareti (P Mark) alınan güvenlik sistemi yerine, daha yüksek düzeyde kişisel bilgi koruma yönetim sistemi gerçekleştirmek gerekebilir.

Bu şekilde, Benesse’nin durumunda olduğu gibi, gelecekteki kişisel bilgi koruma yönetim sistemi yetersiz olarak değerlendirilirse, Gizlilik İşareti’nin (P Mark) geçersiz olma ihtimali vardır. Gizlilik İşareti (P Mark) geçersiz hale geldiğinde, güven kaybolabilir ve bu büyük bir sorun olabilir.

「7pay（セブンペイ）」 Durumu

Seven & I Holdings tarafından uygulamaya konulan ödeme hizmeti ‘7pay’, hizmetin başlamasından bir gün sonra olan 2 Temmuz 2019’da kullanıcılardan “Bilmediğim bir işlem var” şeklinde sorgulamalar alınmış ve 3 Temmuz’da şirket içi bir inceleme yapıldıktan sonra hileli kullanım ortaya çıkmıştır.

Hemen kredi kartı ve banka kartından yapılan yüklemeler geçici olarak durdurulmuş ve 4 Temmuz’dan itibaren hizmetin yeni kayıtları da geçici olarak durdurulmuş ve aynı gün tüm yüklemelerin geçici olarak durdurulması kararlaştırılmıştır.

Hileli erişim sonucu mağdur olan kişi sayısı 808 olarak açıklanmış ve zarar miktarı 38,615,473 yen olarak belirlenmiştir. Hileli erişim yöntemi, liste tipi saldırı olasılığı yüksek olarak belirlenmiştir. Liste tipi saldırı, geçmişte diğer şirketlerden internet üzerinden sızan ID ve şifreleri mekanik olarak girmek anlamına gelir ve en azından on milyonlarca kez denenmiştir. Başarılı giriş sayısı, hileli kullanım sonucu mağdur olan 808 olayı aşmıştır. Liste tipi hesap hacklemeyi önleyememenin nedenleri arasında, birden fazla cihazdan girişe karşı önlemler, iki faktörlü kimlik doğrulama gibi ek kimlik doğrulama önlemlerinin yeterince değerlendirilmemesi ve sistem genelindeki optimizasyonun yeterince test edilememesi gibi faktörler bulunmaktadır.

1 Ağustos’ta, Seven & I Holdings, Tokyo’da acil bir basın toplantısı düzenledi ve ‘7pay’ hizmetinin 30 Eylül saat 24:00 itibariyle sona ereceğini duyurdu. Hizmetin durdurulmasına neden olan üç faktör aşağıdaki gibidir:

• 7pay hizmetinin, yüklemeler dahil tüm hizmetleri yeniden başlatmak için gereken kapsamlı önlemleri tamamlamak için önemli bir süre gerektiği düşünülmektedir.
• Bu süre zarfında, hizmetin devam etmesi durumunda, ‘sadece kullanım (ödeme)’ şeklinde eksik bir form olması kaçınılmazdır.
• Müşterilerin hala bu hizmetle ilgili endişeleri olması

Seven & I Holdings’in internet güvenliği bilincinin yetersizliği ve grup içi işbirliğinin kötü olması, bir dizi sorunu ortaya çıkardı ve büyük bir perakende şirketinin tökezlemesi, hükümetin bayrak salladığı nakitsiz ödemelere yönelik endişeleri artırdı.

Uniqlo Örneği

10 Mayıs 2019’da, Uniqlo’nun işlettiği çevrimiçi mağaza sitesinde, kullanıcı dışındaki üçüncü bir tarafın yetkisiz girişi tespit edildi.

23 Nisan’dan 10 Mayıs’a kadar, liste tipi saldırı yöntemiyle gerçekleştirilen yetkisiz girişlerin sayısı, Uniqlo’nun resmi çevrimiçi mağazası ve GU’nun resmi çevrimiçi mağazasında kayıtlı olan 461,091 hesap olarak belirlendi. İzlenmiş olabilecek kullanıcıların kişisel bilgileri; isim, adres (posta kodu, şehir/ilçe/kasaba, bina numarası, oda numarası), telefon numarası, cep telefonu numarası, e-posta adresi, cinsiyet, doğum tarihi, satın alma geçmişi, “My Size” (Benim Bedenim) bölümüne kaydedilen isim ve beden bilgileri ve kredi kartı bilgilerinin bir kısmı (kart sahibinin adı, geçerlilik süresi, kredi kartı numarasının bir kısmı) idi.

Yetkisiz giriş denemelerinin kaynağını belirleyerek erişimi engelledik ve diğer erişimler için de izlemeyi artırdık. Ancak, kişisel bilgilerin görüntülenmiş olabileceği kullanıcı ID’leri için, 13 Mayıs’ta şifreleri geçersiz kıldık ve şifre yeniden ayarlama talebini her birine e-posta ile ilettik. Ayrıca, bu olay hakkında Japon Polis Teşkilatı’na (警視庁) bildirimde bulunduk.

İsim, adres, telefon numarası, cep telefonu numarası, e-posta adresi, doğum tarihi gibi temel kişisel bilgilerin yanı sıra, satın alma geçmişi ve “My Size” (Benim Bedenim) bölümüne kaydedilen isim ve beden bilgileri gibi özel bilgilerin sızdığı bu olay, rahatsız edici ve endişe verici bir durumdur.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Kanagawa İl Yönetimi Örneği

6 Aralık 2019 tarihinde, Kanagawa İl Yönetimi’nde kullanılan HDD (Hard Disk Drive)’nin yeniden satışı sonucunda, kişisel bilgileri içeren idari belgeler ve diğer bilgilerin sızdığı ortaya çıktı. Kanagawa İl Yönetimi ve sunucu kiralama sözleşmesi yapan Fujitsu Lease, 2019 baharında kiraladığı sunuculardan HDD’leri çıkardı ve atıkların geri dönüşümünü bir geri dönüşüm şirketine devretti. Bu şirketin bir çalışanı, bazı HDD’leri alıp başlangıç durumuna getirmedi ve Yahoo Auctions’da yeniden sattı. Bu HDD’lerden dokuzunu satın alan bir IT şirketi yöneticisi, içeriğini kontrol etti ve Kanagawa İl Yönetimi’ne ait olduğu düşünülen verileri buldu. Bu bilgileri bir gazeteye verdi ve gazete, bilgilerin sızdığını İl Yönetimi’ne doğrulattı.

İl Yönetimi’nin 6 Aralık’taki açıklamasına göre, toplamda 18 HDD çalındı ve bunların 9’u geri alındı, diğer 9’u ise daha sonra geri alındı. Sızan bilgiler arasında kişi ve şirket isimlerinin yer aldığı vergi bildirimleri, kurumsal isimlerin yer aldığı vergi denetimleri sonrası bildirimler, kişi isimleri ve adreslerin yer aldığı otomobil vergisi ödeme kayıtları, şirketlerin sunduğu belgeler, il çalışanlarının iş kayıtları ve kişisel bilgileri içeren listeler bulunuyordu. Her bir HDD’nin 3TB depolama kapasitesi olduğu için, toplamda 54TB verinin sızdığı olasılığı bulunmaktadır.

Kanagawa İl Yönetimi’nde;

• İdari belgelerin saklandığı dosya sunucusu için donanım seviyesinde şifreleme yeterince incelenmedi ve veriler ham haliyle saklandı
• Önemli bilgilerin saklandığı ekipmanları kiralama şirketine geri verirken, verilerin tamamen silindiğini gösteren bir sertifika alınmadı
• Yetkililerin bile farkında olmadığı bir geri dönüşüm şirketi, kiralanan ekipmanları topladı

gibi temel hatalar vardı ve Fujitsu Lease’de;

• Ekipmanın geri dönüşümü konusunda, işi tamamen geri dönüşüm şirketine bıraktılar
• Kiralama sözleşmesinde, verilerin tamamen silindiğini gösteren bir sertifikanın İl Yönetimi’ne sunulması gerektiği belirtilmişti, ancak sertifikanın düzenlenmesi için geri dönüşüm şirketine başvurulmamıştı

gibi yine temel hatalar vardı. Geri dönüşüm şirketi hakkında tartışmaya bile gerek yok.

İlgili üç organizasyonun ortak özelliği olan güvenlik konusundaki duyarsızlık ve sorumsuzca işi başkalarına bırakma eğilimi, bu türden bir sonuç doğurmuştur.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Diğer Yetkisiz Erişim Durumları

Hasarı büyük ve geniş kapsamlı olan yetkisiz erişim kazaları her yıl artmaktadır. 2019 yılında, Tokyo Ticaret ve Sanayi Araştırması’nın başlattığı araştırmadan bu yana 8 yıl içinde en fazla 41 olayın (32 şirket) meydana geldiği belirtilmiştir. Bu, 2019 yılında meydana gelen bilgi sızıntısı ve kayıp olaylarının 86’sının neredeyse yarısıdır ve sızıntı ve kayıp sayısı 8.902.078’dir, bu da 2019 yılı toplamının (%98.5) 9.031.734’ünü oluşturmaktadır. Yukarıda belirtilen örneklerin yanı sıra, 2019 yılında birçok yetkisiz erişim olayı ortaya çıkmıştır, aşağıdaki gibi örnekler bulunmaktadır.

Otomobil Ürünleri Satış Şirketi Durumu

26 Şubat’ta, otomobil ürünleri satan Hase-Pro Şirketi’nin işlettiği online mağazada, site zafiyeti kötüye kullanılarak yetkisiz erişim gerçekleşti. Sahte bir ödeme ekranı görüntülendi ve kullanıcıların girdiği kredi kartı bilgileri sızdırıldı.

「DentistryBook.com」 Durumu

25 Mart’ta, Quintessence Publishing Co., Ltd. tarafından işletilen diş hekimliği uzmanı yayıncılık sitesi “DentistryBook.com”‘un web sunucusuna yetkisiz erişim gerçekleşti ve site kullanıcılarının kişisel bilgileri sızdı. Kredi kartı ödeme sistemini kullanan müşteriler için, güvenlik kodu dahil olmak üzere kredi kartı bilgileri de sızdı. Ayrıca, diş hekimliği iş ilanları sitesi ve Japon Uluslararası Diş Hekimliği Kongresi gibi platformların kullanıcılarının kişisel bilgileri de dahil olmak üzere, toplamda en fazla 23.000 kişisel bilgi sızdı.

「Nanatsuboshi Gallery」 Durumu

12 Nisan’da, Kyushu Passenger Railway Co., Ltd.’nin cruise treni ‘Nanatsuboshi in Kyushu’nun ilgili ürünlerinin online satış sitesi olan ‘Nanatsuboshi Gallery’de yetkisiz erişim gerçekleşti ve müşterilere ait kredi kartı bilgileri dahil olmak üzere kişisel bilgiler sızdı. Kredi kartı bilgilerini kaydeden 3086 üyenin güvenlik kodlarının da dahil olabileceği ve kart bilgisi kaydedilmeyen üyeler ile siteyi kullanan diğer kullanıcıların bilgileri dahil olmak üzere toplamda 5120 kayıt hakkında da bilgi sızıntısı olabileceği açıklandı.

Anket Monitör Servisi ‘An ve Kate’ Örneği

23 Mayıs’ta, Marketing Applications Inc. tarafından işletilen anket monitör servisi ‘An ve Kate’ye yönelik bir sunucu zafiyetini kötüye kullanma yoluyla yetkisiz erişim gerçekleşti. Kayıtlı 770.074 hesabın kişisel bilgileri sızdırıldı. Sızan bilgiler arasında e-posta adresleri, cinsiyet, meslek, iş yeri ve banka hesabı ile ilgili bilgiler bulunmaktaydı.

“Yamada Webcom Yamada Mall” Durumu

29 Mayıs’ta, Yamada Elektrik Şirketi’nin işlettiği “Yamada Webcom Yamada Mall”da yetkisiz erişim meydana geldi. Ödeme uygulaması değiştirildi ve bu süre zarfında kaydedilen maksimum 37,832 müşteri bilgisi sızdı.

İyon Kart Durumu

13 Haziran’da, İyon Kredi Hizmetleri Şirketi’nin İyon Kartı, parola listesi saldırısı sonucu yetkisiz girişlere maruz kaldı. 1917 hesabın yetkisiz girişlere açık olduğu tespit edildi ve bunların 708’inde yetkisiz girişler gerçekleşti. Toplamda yaklaşık 22 milyon yen (yaklaşık 200 bin dolar) değerinde yetkisiz kullanım zararı olduğu açıklandı. Saldırganın, resmi web sitesi “İyon Square” üzerinden parola listesi saldırısı başlattığı ve kullanıcı hesap bilgilerini yetkisiz bir şekilde elde ettiği düşünülmektedir. Saldırganın, resmi uygulamanın kayıt bilgileri değiştirme özelliğini kullanarak iletişim bilgilerini değiştirdiği ve ödeme entegrasyon özelliği aracılığıyla fonları kullandığı tahmin edilmektedir.

Mitsui Sumitomo Kartı “Vpass Uygulaması” Durumu

23 Ağustos’ta, Mitsui Sumitomo Kart Şirketi, üye odaklı akıllı telefon uygulaması “Vpass Uygulaması”nda müşteri ID bilgilerinin en fazla 16.756’sının haksız yere erişime maruz kalabileceğini duyurdu. Şirketin düzenli olarak yaptığı izleme araştırması sonucunda haksız erişim tespit edildi ve sebep araştırıldığında, yaklaşık 5 milyon giriş denemesinin çoğunun bu hizmete kayıtlı olmayanlar tarafından yapıldığı görüldü ve bu durum parola listesi tipi saldırı olarak kabul edildi.

Mizuho Bank’ın “J-Coin Pay” Durumu

4 Eylül’de, Mizuho Financial Group Inc. (Mizuho Bank), “J-Coin Pay” hizmetinin sunumunu yapan bir test sisteminin yetkisiz erişime maruz kaldığını ve 18,469 J-Coin üye mağaza bilgisinin sızdırıldığını duyurdu.

「10mois WEBSHOP」 Durumu

19 Eylül’de, Ficel Limited Şirketi’nin çevrimiçi mağazası ’10mois WEBSHOP’a izinsiz erişim gerçekleşti ve 108,131 müşteri kişisel bilgisi ile 11,913 kredi kartı bilgisi ifşa oldu. Kredi kartı bilgileri arasında güvenlik kodları da bulunmaktaydı.

Kyoto Ichi no Den’in Resmi Web Sitesi Durumu

8 Ekim’de, Nishikyo Tsukemono ve diğerleri ile tanınan Kyoto Ichi no Den Şirketi’nin resmi web sitesine izinsiz erişim gerçekleşti ve ödeme formu değiştirildi. Güvenlik kodunu içeren 18,855 kredi kartı bilgisi ve 72,738 üye bilgisi, gönderim geçmişi gibi bilgiler sızdırıldı.

“Zojirushi ile Alışveriş” Durumu

5 Aralık’ta, Zojirushi Mahobin Co., Ltd. tarafından işletilen “Zojirushi ile Alışveriş” sitesine yönelik bir siber saldırı gerçekleştiği ve en fazla 280.052 müşteri bilgisinin sızdırılmış olabileceği açıklandı. Saldırının nedeni, sitenin güvenlik açıkları olarak görülüyor ve şirket, 4 Aralık’tan itibaren alışveriş sitesini halka kapalı tutuyor.

Elektronik Roman Servisi ‘Novelba’ Örneği

25 Aralık’ta, Beegle Inc. tarafından işletilen elektronik roman servisi ‘Novelba’ya yönelik bir siber saldırı gerçekleşti ve 33,715 kayıtlı kullanıcının e-posta adresleri dahil olmak üzere kişisel bilgileri sızdırıldı. Ayrıca, ödül programına kayıtlı olan 76 kullanıcının banka hesap bilgilerinin de sızdırılmış olabileceği ve ikincil zararların olabileceği belirtildi.

Özet

Bilgi sızıntısı ve kaybını önlemek için uygun önlemler, kişisel bilgileri işleyen tüm kuruluşlar ve şirketler için önemli bir konu haline gelmiştir. Özellikle, halka açık şirketlere kıyasla finansal ve insan kaynakları açısından sınırlı olan küçük işletmelerde, sızıntı kazaları işletme yönetimine ölümcül zararlar verebilir. Güvenlik önlemleri ve bilgi yönetimi sistemlerinin oluşturulması gereklidir. Büyük verinin etkin kullanımı gibi faktörlerle birlikte, kişisel bilgilerin önemi artmaktadır. Aynı zamanda, daha karmaşık ve sofistike hale gelen yetkisiz erişimlere karşı güvenlik önlemleri ve sıkı bilgi yönetimi, risk yönetiminin önemli bir öncülü haline gelmiştir.