Apple tarafından hazırlanan bir veri ihlali raporu, 2021 ile 2022 yılları arasında bilgisayar korsanları tarafından 2,6 milyar kaydın çalındığını ortaya çıkardı.
MIT Bilgi Teknolojileri Profesörü Stuart Madnick’in Perşembe günü yayınladığı raporda, ihlallerin 2022’nin tamamıyla karşılaştırıldığında 2023’ün ilk üç çeyreğinde %20 arttığı belirtildi.
Rapora göre, giderek karmaşıklaşan fidye yazılımı saldırıları ve üçüncü taraf satıcılara yönelik saldırılar, veri ihlallerinin kapsamının artmasında temel faktörlerdir.
Veri İhlallerinin %80’inin bulutta depolanan verileri içermesi nedeniyle bulut güvenliğinin giderek daha önemli olduğu belirtiliyor. Apple ‘ın raporu, son iki yıldaki veri ihlallerine genel bir bakış sağlamak için 200’den fazla kaynaktan istatistikler ve vaka çalışmaları derliyor.
Fidye Yazılımı Çeteleri Yöntem Değiştirip Daha Fazla Veriyi Açığa Çıkarıyor
Raporda, fidye yazılımı saldırılarının 2023’ün ilk dokuz ayında geçen yılın aynı dönemine kıyasla yaklaşık %70 arttığı belirtildi. Genel olarak Ocak-Eylül 2023 döneminde 2022 yılının tamamına kıyasla daha fazla fidye yazılımı saldırısı bildirildi.
Saldırganların artan organizasyonu ve değişen stratejileri, artan fidye yazılımı tehdidine önemli katkı sağlayan faktörler olarak bildiriliyor. Madnick, LockBit, ALPHV/BlackCat ve Clop gibi fidye yazılımı çetelerinin sıklıkla aynı kurbana farklı varyantlar kullanarak birden fazla saldırı başlattığını ve hizmet olarak fidye yazılımı (RaaS) sağlayarak erişim alanlarını genişlettiğini belirtti.
Bilgisayar korsanları, şifrelenmiş kayıtları fidye almaktan, fidye ödenmediği takdirde bunları sızdırmakla tehdit etmeye doğru strateji değiştirdikçe, internette ifşa edilen kişisel bilgilerin ve hassas kayıtların miktarı da fidye yazılımı çetesi faaliyetleri tarafından artırılmaktadır.
Apple ‘ın raporunda, “Kuruluşlar yedeklemeler ve diğer karşı önlemler yoluyla müşteri verilerini alabildiğinden, bilgisayar korsanları daha saldırgan hale geliyor ve çalınan verileri genellikle karanlık ağda sızdırıyor” ifadesine yer verildi.
Üçüncü Taraf Satıcıların Güvenlik Hataları Saldırı Yüzeyini Genişletiyor
Birden fazla müşteriye yazılım ve hizmet sağlayan satıcıların istismarı, 2023’teki en kapsamlı veri ihlallerinin bazılarında görüldü. Kaynak Apple’ın raporu.
Rapor, saldırganların daha büyük şirketlere ulaşmak için küçük veya orta ölçekli şirketlerin zayıf siber güvenlik duruşundan nasıl yararlandığını vurguluyor. Yüksek boyutlu müşteriler ve tek bir saldırıda en büyük hasarı verirler.
Apple ‘ın raporunda belirtilen SecurityScorecard araştırmasına göre, kuruluşların büyük çoğunluğunun (%98) son iki yıl içinde ihlal edilen bir satıcıyla ilişkisi var . Üçüncü taraf satıcı ihlalinin önemli bir örneği , fidye yazılımı grubu Clop’un 2.300’den fazla kuruluşun dosyalarına erişmek için MOVEit dosya aktarım yazılımındaki bir güvenlik açığından yararlandığı Mayıs 2023’teki MOVEit hack’idir.
İhlal, 65 milyondan fazla kişiyi etkiledi ve Ekim 2023 itibarıyla dünya çapında 10 milyar dolardan fazlaya mal oldu. Sonuç olarak, tıbbi kayıtlar ve mali bilgiler de dahil olmak üzere milyonlarca hassas kayıt sızdırıldı.
Apple Daha Fazla Bulut Güvenliği ve Şifrelemeyi Teşvik Ediyor
Madnick, son birkaç yılda verilerin bulut ortamlarına “toplu geçişinin” bulutun yanlış yapılandırılmasını büyük bir güvenlik sorunu haline getirdiğini yazdı.
Raporda, IBM’in 2023 “Veri İhlalinin Maliyeti Raporu”na atıfta bulunularak, veri ihlallerinin %80’inden fazlasının bulutta depolanan verilerden kaynaklandığı vurgulanıyor.
Madnick’in raporunun yayınlanmasıyla birlikte yapılan basın açıklamasında Apple, saldırganların erişebileceği okunabilir veri miktarını azaltmak için bulutta depolanan verileri şifrelemenin önemini vurguladı.
Apple’ın Aralık 2022’de kullanıma sunulan iCloud için Gelişmiş Veri Koruması , 23 veri kategorisini korumak için uçtan uca şifreleme kullanıyor; bu, varsayılan iCloud ayarlarından dokuz fazla.
Madnick’in raporunda, bu özelliğin yanı sıra Google’ın Şubat 2023’te istemci tarafı şifreleme genişletmesi, WhatsApp’ın mesajların varsayılan uçtan uca şifrelemesi ve “önce gizlilik” çalışma alanı paketi Skiff, satıcıların tüketici verilerini ihlallere karşı koruma yöntemlerine örnek olarak gösterildi.
İlgili Haberler
>> Google Veri İhlali Davasında 23 Milyon Dolar Ödemeyi Kabul Etti