Siber suçlular, Meksikalı borçluların sekiz milyondan fazla kaydını içeren bir veri tabanını sattıklarını iddia etti. Raporlara göre, veriler bir bilgisayar korsanlığı forumunda ilgilenen alıcılar için istenen bir fiyatla tanıtılıyor.
Listede, veri setinin Meksika’daki tahsilat kurumlarına borcu olan kişilerin tam adlarını, vergi kimlik numaralarını, ödenmemiş borçlarını ve kişisel iletişim bilgilerini içerdiği belirtiliyor. Satıcı, doğrulama için bazı örnek girişler sağlasa da, tüm veri setinin bağımsız araştırmacılar veya etkilenen kuruluşlar tarafından doğrulandığına dair kamuya açık bir onay yoktur.
Bilgisayar korsanı gönderisi, verilerin hükümet veya özel borç verenler tarafından sözleşmeli Meksikalı firmalarla kaydedilen borçlulara ait olduğunu açıkladı. Grup, kayıtların geç ödeme yapan veya hesapları temerrüde düşen kişileri kapsadığını vurguladı ve kampanyanın halen devam ettiğini iddia etti.
Listeleme ilk bakışta gerçek gibi görünse de, bilgisayar korsanları genellikle birden fazla kaynaktan daha önce sızdırılan verileri geri dönüştürür ve ardından kârı en üst düzeye çıkarmak için bunları tek bir büyük veri kümesi olarak sunar. Bu aşamada, listelemenin gerçekliği belirsizliğini koruyor ve Meksikalı yetkililer veya listede adı geçen şirketler tarafından resmi bir onay yayınlanmadı.
Bu veriler neden bu kadar değerli
Bunun gibi borç kayıtları, kimlik hırsızlığı, sosyal mühendislik veya daha fazla dolandırıcılık için kullanılabilecek vergi numaraları ve iletişim bilgileri gibi hassas kişisel tanımlayıcılar içerir. Suçlular, borç veren gibi davranarak ikna edici dolandırıcılıklar yapmak veya borç tahsilat kurumlarının kimliğine bürünmek ve bireylere var olmayan borçları ödemeleri için baskı yapmak için verileri kullanabilir.
Kayıtlar zaten mali yükümlülüklerle bağlantılı olduğundan, dolandırıcılar tarafından kullanıldığında doğal bir güvenilirlik taşırlar ve bu da hedeflenen kişiler için riski artırır. Bu tür verilerin satışı, dijital ihlallerin özel mali yükümlülükleri nasıl suç teşkil eden istismar araçlarına dönüştürebileceğini gösteriyor.
Hiçbir Meksika devlet kurumu veya özel borç veren, bu büyüklükte bir ihlali kamuya açık bir şekilde doğrulamadı. Liste, birden fazla küçük ihlalden elde edilen güncelliğini yitirmiş, kısmen doğru veya toplu veriler içerebilir. Şu an itibariyle satıcının iddiaları doğrulanmadı ve veri setinin ne kadarının meşru olduğu belli değil.
Onay olmadan, maruziyetin tam kapsamını veya ilgili belirli kurumları değerlendirmek zordur. Verileri dahil edilebilecek kişiler için belirsizlik, mevcut bir kötüye kullanım riski olup olmadığını veya hangi hafifletme adımlarının gerekli olduğunu belirlemeyi zorlaştırıyor.
Etkilenen bireyler ne yapmalıdır?
Meksika’da borç tahsilatlarına karışan veya vergi kimlik numarası mali işlemlerde kullanılmış olabilecek herkes önlem almayı düşünmelidir. Riski azaltmanın bir yolu, kredi raporlarını ve banka hesap özetlerini olağandışı faaliyetlere karşı izlemek ve ödeme veya kişisel bilgi talep eden kuruluşlardan gelen istenmeyen taleplere karşı tetikte olmaktır.
Belgelenmiş kanıt ve kimlik doğrulaması olmadan borçların ödenmesini talep eden aramaları veya mesajları reddedin. Emin değilseniz, yaklaşıma yanıt vermek yerine doğrulanmış iletişim bilgilerini kullanarak asıl alacaklı veya tahsilat kurumuyla iletişime geçin. Kimlik hırsızlığı mağdurları ayrıca kredi dosyalarına dolandırıcılık uyarıları yerleştirmeyi ve herhangi bir dolandırıcılık faaliyetini derhal bildirmeyi düşünmelidir.
Meksika’daki borç tahsilat firmaları ve finans kurumlarının veri güvenliği politikalarını, özellikle de büyük hacimli borçlu bilgilerini nasıl sakladıklarını, paylaştıklarını ve koruduklarını gözden geçirmeleri gerekebilir. İddia edilen açığa çıkan kayıtların satışı, veri işlemedeki zayıf bağlantıların doğrudan operasyonel etkinin ötesinde geniş tehditlere yol açabileceğini vurguluyor.
Düzenleyicilerin, bir sızıntının veya bir dizi sızıntının bu listenin derlenmesine izin verip vermediğini ve Meksika’daki veri koruma çerçevelerinin hassas finansal bilgileri korumak için yeterli olup olmadığını araştırması gerekebilir. Veri akışlarını denetlemek, saklama politikalarını güncellemek ve uygun şifrelemeyi sağlamak, gelecekte maruz kalma olasılığını azaltmaya yardımcı olabilir.
Bu olay, Meksika’nın kamu ve özel sektöründeki diğer önemli veri açığa çıkarma olaylarını takip ediyor. Mevcut listeleme borç odaklı olsa da, önceki sızıntılar sağlık sistemlerini, devlet kurumlarını ve özel firmaları hedef almış ve bu da ülkenin veri güvenliği duruşunun kalıcı zorluklarla karşı karşıya olduğunu göstermiştir.
Dijital kayıtların çoğalması ve veri pazarlarının gelişmesiyle birlikte, finansal yükümlülükler ile kişisel verilerin kesişimi, siber suç işletmeleri için giderek daha çekici bir hedef haline geliyor. Etkili önleme, hem teknik önlemlere hem de ihlallerin derhal ifşa edilmesine bağlıdır.