Brezilya’da gençlerin staj bulmasına yardımcı olan kar amacı gütmeyen bir kuruluş, saldırganların yaklaşık 546 gigabaytlık özel kayıtlara eriştiğini iddia etmesiyle büyük bir veri ihlaline maruz kaldı. Gerar adlı kuruluş, ilk kez iş arayanları şirketler ve eğitim kurumlarıyla buluşturuyor. İhlal, bir veri sızıntısı forumunda genç başvuru sahiplerinin birkaç yıl öncesine ait örnek dosyalarını gösteren bir gönderinin ortaya çıkmasıyla ortaya çıktı.
Maruz kalan malzeme son derece hassastır. Örnek veri setini analiz eden araştırmacılara göre sızıntı, tıbbi kontrol raporlarının taranmış kopyalarını, kimlik kartlarını, Gerar ile stajyerler arasındaki sözleşmeleri, okullar ve eğitim programları arasındaki sözleşmeleri ve hatta bazı genç başvuru sahipleri için askerlik hizmetiyle ilgili taranmış belgeleri içeriyor.
Örnek dosya setinde araştırmacılar isimler, e-posta adresleri, telefon numaraları, doğum tarihleri, vergi mükellefi kimlik numaraları, sokak adresleri, aile gelir verileri, eğitim geçmişi ayrıntıları ve diğer kişisel bilgileri buldular. Bu veriler tek başına kimlik hırsızlığı ve dolandırıcılık için önemli bir risk oluşturur.
Etkilenenlerin çoğu iş piyasasına yeni giren genç yetişkinler olduğundan, uzun vadeli risk özellikle yüksektir. Bu kadar çok kişisel ayrıntı açığa çıkarken, kötü aktörler yıllarca hesap açabilir, kredi başvurusunda bulunabilir veya kurbanların kimliğine bürünebilir. Araştırmacılar, bir kişinin kimliğinin kariyerinin başlarında tehlikeye atılmasının, kredi geçmişi ve istihdam fırsatları üzerinde kalıcı bir etkisi olabileceği konusunda uyarıyor.
Gerar, işgücüne katılan genç Brezilyalılar için eğitim, staj ve eşleştirme hizmetleri sunmaktadır. Bunu yaparken, hem başvuru sahiplerinden hem de eğitim veya işveren ortaklarından yüksek miktarda kişisel veri toplar. Bu hassas veri hacmi, gençlere yönelik veya kar amacı gütmeyen programlara özgü daha az korumayla birleştiğinde, böyle bir kuruluşu çekici bir hedef haline getiriyor.
Saldırganlar, Gerar gibi kar amacı gütmeyen bir kuruluşun veritabanını tehlikeye atarak yalnızca ham kişisel verilere değil aynı zamanda sözleşme belgelerine, kimlik doğrulama materyallerine ve eğitim bilgilerine de erişim elde ediyor. Tüm bunlar kimlik avı, sahte kimlik bilgisi oluşturma veya kurumsal kimliğe bürünme gibi ikincil saldırılar için kullanılabilir.
Kâr Amacı Gütmeyen Kuruluşlar Veri Korumasını Nasıl Güçlendirebilir?
Gerar ihlali, iyi niyetli kuruluşların bile daha büyük veri koruma ekosisteminde başarısızlık noktaları haline gelebileceğini gösteriyor. Kişisel verileri toplayan her kar amacı gütmeyen kuruluş, siber güvenliği daha büyük özel şirketler kadar ciddiye almalıdır.
Bu, toplanan veri miktarının sınırlandırılması, depolama alanında şifrelenmesi ve bu verilere kimlerin erişebildiğinin gözden geçirilmesi anlamına gelir. Düzenli yazılım güncellemeleri, sızma testleri ve personel eğitimi de birçok ihlali gerçekleşmeden önleyebilir. Bir olaydan sonra şeffaf iletişim de aynı derecede önemlidir. Etkilenen bireyler hızlı bir şekilde bilgilendirilmeli ve kendilerini korumaları için pratik tavsiyeler verilmelidir.