Kanadalı havayolu şirketi Air Canada, 1,7 milyon kullanıcıya hizmet verdiği mobil uygulamasındaki bir güvenlik açığı nedeniyle veri sızıntısıyla karşı karşıya kaldı. Air Canada'ya ait mobil uygulamayı hedef alan saldırganlar, 20.000 kişiye ait hassas veriyi ele geçirdi. Şirketin açıklamasına göre çalınan veriler arasında kullanıcı isimleri, telefon numaraları, mail adresleri ve pasaport numaraları gibi hassas bilgiler yer alıyor. Veri sızıntısının şirketler için ciddi ve uzun süreli sonuçlar yaratacağının altını çizen Bitdefender Antivirüs, şirketlere önemli uyarılarda bulunuyor.
Air Canada'nın yayınladığı güvenlik açıklamasında, anormal hesap hareketlerinin 22 - 24 Ağustos tarihleri arasında gerçekleştiği ve 1,7 milyon kullanıcı arasından 20.000 adet profile yetkisiz olarak erişildiği belirtiliyor. Şirket, bu sayının kullanıcıların sadece %1'ine denk geldiğini vurgulasa da bu durum, bilgileri ele geçirilmiş kullanıcıları rahatlatmaya yetmiyor.
Ele geçirilen hassas bilgiler kullanıcıların isimleri, telefon numaraları, mail adresleri, pasaport numaraları, mail adresleri, pasaportlarının teslim yeri, milliyetleri, cinsiyetleri, NEXUS numaraları, ikamet ettikleri ülke ve doğum tarihleri gibi çok geniş bir kapsama yayılıyor.
Her ne kadar uygulamanın kredi kartı bilgilerini şifreli halde depoladığı ve hackerlerin bu sayede onlara ulaşamadığı belirtilse de pasaport bilgileri çalınmış olan kurbanların da yakın zamanda ciddi sorunlarla karşı karşıya gelebileceği biliniyor. Siber saldırganlar bankalar, sigorta firmaları, cep telefonu operatörleri gibi pasaportun aslını fiziksel olarak göstermenin bir gereklilik olmayabileceği kurumlarda, bu bilgiler aracılığıyla hesap oluşturarak pek çok işlem gerçekleştirebiliyor. Kurbanların hayatı, vahim boyutlardaki kredi kartı faturaları gibi sorunlarla uzun süre kabusa dönüşebiliyor.
SAHTE PASAPORT İÇİN KULLANILABİLİR
Daha tehlikeli bir risk olarak ise, dolandırıcıların çaldıkları bilgiyi yeni bir fiziksel pasaport edinme için kullanabilecekleri fikri akıllara geliyor. Ancak havayolu şirketi, Kanada devletinin böyle bir riski düşük bulduğunu çünkü kuralların, orijinal pasaportu taşıyan kişiyi hala belgenin asıl sahibi olarak gösterdiğini belirtiyor. Diğer taraftan Air Canada'nın, Kanada devletinin resmi şifre tavsiyelerine aykırı davrandığına dikkat çekiliyor. Uygulama, hesaba giriş işlemleri için nadiren 6 ile 10 karakter arası şifre istiyor ve kullanıcıların değişik tipte semboller içermeyen, basit şifreler seçmesine izin verdiği için eleştiriliyor.
Uygulamadaki zayıf şifre özelliklerinin bu sızıntıda rol oynayıp oynamadığı kesin olarak bilinmiyor. Ancak vakanın ardından Air Canada, şifre güvenlik seviyesini artırma yoluna gitti. Kullanıcılar, havayolu şirketinin uygulamasına veya web sitesine bir sonraki girişlerinde yeni bir şifre seçmek durumunda kalacak.
Havayolu şirketi, kullanıcıların finansal işlemlerini gerçekleştirirken gözlerini açık tutmaları, beklenmedik bir hareket görürlerse finansal servis sağlayıcılarıyla iletişime geçmeleri ve kredi kartları hesap dökümlerinde karşılaşabilecekleri herhangi bir değişikliğe karşı dikkatli olmaları gibi önerilerde bulunuyor.
ŞİRKETLER NE YAPMALI?
Veri ihlalinin sonuçları şirketlerde yıkıcı ve uzun vadeli mali sonuçlar doğurabilir. Bunlar arasında itibar ve müşteri kaybı, gelirlerde düşüş, rekabet avantajı kaybı ve çalışanların üretkenlikte yetersiz kalmaları sayılabilir. Bitdefender Antivirüs, şirketleri siber saldırganların kurbanı olmamaları için uyarıyor ve önemli tavsiyelerde bulunuyor.
• Müşteriler, özel bilgilerinin güvenliği ve gizliliğine saygı göstermek için şirketlerin mümkün olan her şeyi yaptıklarına güvenirler. Sorumluluktan kaçınmak, müşterilerinizi kaybetmenize, hisse değerinizin düşmesine ve potansiyel olarak milyon dolarlar yitirmenize neden olacak bir veri ihlaline yol açabilir.
• IT uzmanları, bir ihlali önleme yeteneklerinden yeteri kadar emin değiller. Güveni artırmak için etkili bir veri ihlali yanıt planı içeren güçlü bir güvenlik mevzuatı büyük önem taşır. Ne yazık ki, birçok durumda yönetim kurulu başkanları ve CEO'lar itibar kaybına ve hisse değerinde ciddi düşüşlere rağmen veri ihlallerine hazırlık yükümlülüğünden kaçınırlar. Ancak, veri ihlaline hazırlıklı olunması için şirket üst yönetiminin de aktif olarak sürece dahil edilmesi gerekir.
• Veri ihlali hazırlığının bir parçası olarak üst yönetim, kendi şirketinin gizlilik ve veri işleme uygulamalarının müşterilerinin beklentilerine saygılı olmasını sağlamalıdır. Bu tür çabalar müşteri düşüşlerini hafifletmeye yardımcı olacaktır.