Veri sızıntılarıyla ilgili haberlerin oldukçarutin hale gelmesi nedeniyle vakalar her seferinde çok hızlı şekilde unutulsada 2018, şirketlerin ciddi veri sızıntılarıyla hasar gördüğü ve masumkullanıcıların kişisel bilgilerinin risk altına girdiği pek çok vaka ile geridekaldı. 12 ay boyunca öne çıkan veri sızıntılarını ay ay hatırlatarak yılınözetini çıkartan Bitdefender Antivirüs, 2019’un veri sızıntılarıyla geçen biryıl olmaması için şirketleri uyarıyor.
Ocak
Hindistan’daki Tribune gazetesi, sibersuçluların ülkenin biyometrik veritabanını WhatsApp üzerinden sattığınıraporladığında, yılın daha ilk günleri yaşanıyordu. Habere göre gazeteninmuhabirleri yaklaşık 8 dolara, 1 milyardan fazla kişinin ismine, mail adresine,telefon numarasına ve posta koduna erişim sağlayabilmişti. Daha da kötüsü,fazladan beş dolar ödeme karşılığında kendilerine benzersiz bir Hint kimlikkartı teklif edilmişti. Aadhaar Card olarak bilinen bu kart, bedava okulyemekleri ve yakıt giderleri gibi devlet hizmetleri için kullanılabiliyordu.
Şubat
Şubat’ta global kargo şirketi FedEx,güvenliksiz bir Amazon AWS sunucusu nedeniyle kullanıcı bilgilerini açığaçıkartan pek çok şirketten biri olarak gündeme geldi. Güvenlik araştırmacılarıhalka açık bırakılmış sunucunun, isimleri, adresleri, telefon numaralarını,pasaport fotoğraflarını, sürücü belgelerini ve faturaları içeren 119 bindoküman içerdiğini tespit etti. Güvenlik zafiyeti bulunan diğer bulut parçalarıgibi, hackerlerin hassas verilere erişim kazanması için bir şifre girmesinebile gerek kalmamıştı.
Mart
Çevrimiçi gizliliği gündeme getiren Mart,teknoloji şirketlerinin kullanıcı verilerini nasıl dikkatsiz bir şekilde açığaçıkardığını tüm halkın ilgisini çeken Cambridge Analytica vakasıyla gösterenbir ay oldu.
Bu vakada Facebook’ta bulunan bir kişiliktestini çözen 270 bin kullanıcının ve bu kişilerin toplam 50 milyon arkadaşınınkişisel bilgileri çalınmıştı. Normalde Facebook uygulama geliştiricilerininkullanıcıların verilerini üçüncü partilerle paylaşmadığı düşünülse de test iletoplanan veri, Cambridge Analytica ile paylaşıldı. Facebook verilereerişildiğini fark edince, verilerin yok edilmesini talep etse de karşı tarafsözünü tutmadı. Teknik olarak düşünüldüğünde bu bir Facebook veri sızıntısıyerine bir veri politikası açığı olarak düşünülebilir ancak sonuçları pek çokveri sızıntısından daha kötü oldu.
Nisan
Nisan ise MyFitnessPal uygulamasıkullanıcılarının zarar gördüğü bir dönem olarak 2018’de yer aldı. Hackerlerinkullanıcı adları, mail adresleri ve şifreleri çalmasının ardından 150 milyonkullanıcı, kişisel bilgilerinin ele geçirildiğini fark etti. Bu vaka, kırılmasızor şifreler seçme ve aynı şifreyi birden fazla web sitesi veya uygulamadakullanmama gibi basit kuralların önemini bir kez daha gösterdi.
Mayıs
25 Mayıs 2018’de Avrupa’nın GDPR yasasınıdevreye koyması ve bu sayede şirketlerin kullanıcıların özel bilgilerine karşıdikkatsiz olmasının daha çok engellenmeye başlanması ile Mayıs, veri güvenliğiiçin iyi bir ay oldu. GPDR ile devletler ilk kez, güvenliği zayıf şirketlereciddi maddi cezalar verme gücü kazandı. Ancak tabii ki GDPR gibi yeni verikoruma kanunlarının hiçbiri veri sızıntılarının sonunu getirmedi.
Facebook’a bağlı “myPersonality Facebook”uygulamasına kayıtlı altı milyon kullanıcının özel, hassas verilerininGitHub’da dört sene boyunca açık olarak görülecek şekilde yayınlandığı ortayaçıktı. Facebook, profillere dair çok fazla bilgi depoladığı için bu ve başka200 uygulamanın çalışmasını askıya alsa da, tam bir çözüm geliştiremedi.
Haziran
Yılın yarısı geride kaldığında, verisızıntıları ardı arkası kesilmemeye devam ediyordu. Haziran, Ticketmastervakasıyla çalkalandı. Kötü niyetli bir kodun Ticketmaster sitesineyerleştirildiğini fark eden yetkililer, isim, adres, mail adresi, telefonnumarası, giriş ve ödeme detayları gibi kullanıcı bilgilerinin sızdırılmışolabileceğini duyurdu. Sorunun Ticketmaster’in ödeme sayfasına yerleştirdiğiüçüncü parti kodundan kaynaklandığı ortaya çıktı. Dijital bir banka olan Monzo,Ticketmaster ile Nisan ayında iletişime geçerek websitelerinin sızıntıyauğramış olduğuna inandıklarını belirtmiş ancak Ticketmaster problemingerçekliğini Haziran’a kadar doğrulamamıştı.
Temmuz
İngiltere’deki popüler mağazalardan Currys PCWorld, Carphone Warehouse ve Dixons Travel’in yaklaşık 10 milyon kullanıcısı,ödeme bilgileri ve kişisel kayıtların hackerler tarafından çalındığı bir verisızıntısından etkilendi. Bu şirketler Temmuz ayını kullanıcıların tepkisinedeniyle alarm halinde geçirdi.
Ağustos
Ağustos’un veri sızıntısı gündeminin merkezineAir Canada oturdu. Bu vakada hackerler, kullanıcı isimleri, telefonnumaraları, mail adresleri, Air Canada hesap numaraları, tüm pasaport detayları,cinsiyet, ikamet edilen ülke ve doğum yıllarına erişim kazandı. Hackerlerin20.000 hesabı ele geçirdiği duyurusunun ardından Air Canada’nın mobiluygulamasını kullanan 1,7 milyon kişi, şifrelerini değiştirmek zorunda kaldı.Bu bilgilerin sigorta şirketleri, mobil operatörler ve bankalarla paylaşılmasıihtimali nedeniyle durum oldukça korku yarattı.
Eylül
Eylül ayında Facebook tekrar gündeme geldi.Facebook, ciddi bir güvenlik zafiyeti nedeniyle hackerlerin hesaplara vegiriş için Facebook’u kullanan üçüncü parti uygulamalara dair bilgilereerişebilmesine neden olan bir güvenlik zafiyetinin varlığını kabul ederekyaklaşık 50 milyon hesaba ulaşıldığını bildirdi. Başkasının Gözünden Gör (“ViewAs”) güvenlik sızıntısı olarak bilinen bu sorunun kurbanları arasında kurucuMark Zuckerberg’in ve Facebook operasyon müdürü Sheryl Sandberg’in bilebulunduğu söylendi.
Ekim
Ekim’de 30.000 askeri çalışan ve sivilpersonelin kredi kartı ve kişisel bilgileri, Pentagon’a yönelik bir güvenliksızıntısında açığa çıktı. Veri sızıntısı, Savunma Bakanlığı’na seyahat yönetimihizmetleri veren, ismi açıklanmayan bir üçüncü parti sağlayıcıdan dolayıgerçekleşti. En gizli olarak kabul edilen bilgilerin durumdan etkilenmemişolduğu duyurulsa da, bilgileri hackerlerin eline düşen kullanıcıların içirahatlatılamadı.
Kasım
Şimdiye kadarki en geniş kapsamlı verisızıntılarından biriyle Kasım ayında Marriott Hotel yüzleşti. Otelinaçıklamasına göre, ziyaretçi rezervasyon veri tabanındaki 500 milyon kişininbilgileri risk altına girdi. Bu bilgiler, isim, mail adresi, telefon numarası,pasaport numarası, hesap bilgisi, doğum tarihi, cinsiyet, giriş ve çıkış bilgileriile rezervasyon tarihiydi. Bazı kullanıcılara göre kart bilgileri ve kartlarınson kullanma tarihleri de çalınmıştı. 2013’te Yahoo’nun yaşadığından sonra buveri sızıntısı tarihteki en büyük ikinci sızıntı vakası olarak kaydedildi.
Aralık
Sorunun Mart ayında keşfedilmesinin ardındanGoogle, Ekim 2018’de Google+ sosyal ağında gizlilik hakkında ciddi bireksikliğin olduğunu kabul etti. Bu durumun karşılığında şirket, Google+’yıAğustos 2019 sonunda kapatmaya karar verse de 2018’de Google’ın yaşadığı verigizliliği problemleri bununla bitmedi. Google Aralık ayında bu sefer deyaklaşık 52 milyon Google+ profil bilgisinin açığa çıkmasıyla sarsıldı.Açıklamaya göre ara yüzdeki bir zafiyet, üçüncü parti uygulamaların vegeliştiricilerin kullanıcıların kişisel bilgilerine izinsiz erişmesine yolaçtı.