Cabify, bir tehdit aktorunun yüz binlerce sürücüsü hakkında ayrıntılı bilgi içeren bir veritabanı edindiği iddialarını inceliyor. Perro olarak bilinen bir kullanıcı, çevrimiçi bir forumda örnekler paylaştı ve tüm veri setini satışa sundu. Örneklerde tam isimler, ev adresleri, telefon numaraları, e-posta adresleri ve Facebook Hesap Kit’ine bağlı tanımlayıcılar bulunuyor. Materyali inceleyen araştırmacılar, verilerin yapısının sürücünün biniş sırasında toplanan bilgilerle tutarlı olduğunu söylüyor.
Madrid’de merkezi bulunan ve İspanya ile Latin Amerika’da faaliyet gösteren Cabify, kendi sistemlerinin mi yoksa üçüncü bir tarafın sistemlerinin de tehlikeye girip girmediğini doğrulamadı. Şirket ayrıca iddia edilen verilerin ne zaman elde edildiği veya mevcut veya eski sürücülerle ilgili olup olmadığı konusunda da yorum yapmadı. Analistler, sızdırılan alanların kaynağın rutin destek verileri yerine bir kayıt veya kimlik doğrulama sistemi olabileceğini gösterdiğini belirtiyor. Sürücü işe alım genellikle kişisel ve iletişim bilgilerinin toplanmasını ve kimlik doğrulama için kullanılan sosyal medya veya platform tanımlayıcılarının toplanmasını içerir.
Ortaya çıkan verilerin doğası, kayıtların sürücülerin kimliğini taklit etmek veya sahte mesajlarla hedef almak için birleştirilebilen birden fazla kişisel bilgi parçası içermesi nedeniyle endişe yaratmaktadır. Adresler, telefon numaraları ve e-posta bilgileri sosyal mühendislik için kullanılabilir. Sosyal medya tanımlayıcıları, suçluların çevrimiçi hesaplarını gerçek dünya profillerine bağlamasını sağlayarak hedefli dolandırıcılıkların güvenilirliğini artırabilir. Güvenlik uzmanları, bu büyüklükteki veri setlerinin tehdit aktörleri için cazip olduğunu çünkü kimlik tabanlı saldırılar için geniş fırsatlar sunduğunu söylüyor.
Düzenleyici hususlar da gündeme gelir. Verilerin gerçek olduğu ve Cabify sistemlerinden alındığı doğrulanırsa, şirket Avrupa gizlilik yasası kapsamında bildirim yükümlülüklerini değerlendirmek zorunda kalacaktır. Genel Veri Koruma Yönetmeliği, kuruluşların maruz kalan bilgilerin zarar riski yarattığında düzenleyicileri ve etkilenen bireyleri bilgilendirmesini zorunlu kılıyor. Kişisel bilgiler, örneğin ikamet adresleri ve iletişim bilgileri, tanımlanabilir bir kişiyle bağlantılı olduğunda hassas sayılır. Birden fazla bölgede faaliyet gösteren şirketler, veriler Avrupa Birliği dışındaki sürücüleri içeriyorsa bölgesel otoritelerle de koordinasyon yapmak zorundadır.
Bu olay, büyük hacimlerde kimlik bilgisini yöneten mobilite platformlarının karşılaştığı siber güvenlik zorluklarını ortaya koyuyor. Sürücü kayıt sistemleri, kamu tarafından verilen kimlikleri, arka plan tarama belgelerini ve suçlular için toplandıktan sonra da değerli kalabilecek ayrıntılı iletişim bilgilerini yönetir. Bu platformlar, eşit derecede hassas verilere sahip olmalarına rağmen, finansal kurumlarla aynı güvenlik yatırımı seviyesine her zaman sahip olmayabilir. Analistler, sızdırılmış işe alım kayıtlarının ilk satışlardan sonra bile yeraltı forumlarında dolaşmaya devam ettiğini ve bunun da etkilenen bireyler için uzun vadeli maruz kalmaya yol açtığını söylüyor.
Cabify ise iç incelemesi için bir zaman çizelgesi sunmadı. Güvenlik araştırmacıları, şirketle bilgi paylaşan sürücülerin kişisel veri talep eden mesajlara, beklenmedik doğrulama istemlerine veya hesap detaylarındaki değişikliklere karşı dikkatli olmalarını önerir. Ayrıca, şirket iddiayı araştırırken finansal ve kimlik hesaplarının olağandışı faaliyetlerin izlenmesini tavsiye ediyorlar.