Equifax Felaketi: Neden Patladı ve Hâlâ Neden Önemli?

Equifax Felaketi: Neden Patladı ve Hâlâ Neden Önemli?

Equifax sızıntısı 147 milyondan fazla kişinin kişisel verilerini ortaya döktü. Ama asıl mesele sadece hack değil; önlenebilir bir dizi hatanın zinciriydi bu. Bütün siber güvenlik sektörünü şoke etti. İşte neler oldu, uzmanlar neden hâlâ öfkeli ve onların hatalarından nasıl ders çıkarılır.

Equifax Felaketi: Neler Ters Gitti ve Neden Hâlâ Önemli

2017'de Equifax sızıntısı patlak verdiğinde herkes şaşkına döndü. Bir yıl sonra hükümetin raporu çıktı. Detaylar, haberlerden bile daha korkunçtu. Bu hikâyeyi anlatayım. Çünkü bugün bile geçerli. Büyük şirket yönetiyorsan ya da kendi verilerini korumak istiyorsan, dersler aynı.

Zarar Ne Kadardı?

147 milyon kişi etkilendi. Sosyal güvenlik numaraları, doğum tarihleri, adresler, finansal veriler çalındı. Neredeyse ABD nüfusunun yarısı. Korkutucu kısım şu: Bu, süper zeki bir hacker saldırısı değildi. Şirketin üst üste yaptığı aptalca hatalardı. Yavaş yavaş domino gibi devrildiler.

Zincirleme Hatalar: Her Şey Önlenir Olabilirdi

Zafiyeti Biliyorlardı (Ama Yamadılar)

10 Mart 2017'de hackerlar, Apache Struts'taki (yaygın bir yazılım çerçevesi) açığı tarama araçlarıyla buldu. Bu açık, sadece iki gün önce duyurulmuştu. İki gün!

Equifax güvenlik ekibi, sistem yöneticilerine uyarı maili attı. Ama liste güncel değildi. İlgililer maili almadı. Gaz kaçağı uyarısı yapıp, çalışmayan telefonlara bırakmak gibi.

Otomatik tarama araçları da açığı yakalayamadı. Yanlış ayarlanmıştı ya da bakımsızdı. Milyonlarca hassas veriyi yöneten bir kredi şirketi için affedilemez.

İki Ay Sonra Saldırı Başladı

Açık 10 Mart'ta doğrulandı. Hackerlar iki ay bekledi. Sonra üç veritabanına sızdı. İtiraz portalı sistemiyle ilgiliydi. Durmadılar. Ağda özgürce dolaştılar.

Neden? Ağ segmentasyonu yoktu. Sistemler bölümlenmemişti. Birine gireni her yere salıveriyordu. Kapısız dev bir ev gibi.

Şifresiz Şifreler Her Yerde

İçeride, işlerini kolaylaştıran bir şey buldular: Düz metin şifreler. Şifrelenmemiş, hash'lenmemiş. Okunur halde.

Bunlarla başka veritabanlarına geçtiler. 76 gün boyunca 9 bin sorgu yaptılar. Veriyi küçük parçalarla çektikleri için fark edilmedi. 3 veritabanından 51'e yayıldılar. Şifre yönetimi temelleri hiçe sayılmıştı.

Var Olmayan Güvenlik Sistemi

Saldırı Tespit Sistemi (IDS), tam da bunu yakalamalıydı. Olağandışı sunucu hareketleri, sorgu yağmuru, veri kopyalama... Alarm çalması lazımdı.

Ama çalmadı. Dijital sertifika süresi dolmuştu. Sistem aylardır kapalıydı. Veri taşınırken uyuyordu. Sertifika yenilenince bir günde yakaladı. Bir gün! Zamanında yenilse ne olacaktı.

Nasıl Yakalandılar?

Gelişmiş izleme falan yoktu. Sertifika yenilenince IDS devreye girdi. 2 Ağustos 2017'de FBI'ı aradılar. Sızıntı 76 gün önce başlamıştı.

Küçük teselli: Hackerlar sistem günlüklerini silmedi. Adım adım her şey görüldü. Silseler, zararı bilemeyecektik.

Equifax'ın Düzelttiği İddiası (Şüpheli)

Şirket söz verdi:

  • Ağ trafiğini sürekli izleme
  • Uç nokta güvenliği ve yanlış ayar tespiti
  • Yamalama sürecini doğrulama adımlarıyla güçlendirme
  • Ağ segmentasyonu
  • Sunucular arası erişim kısıtlama
  • Yöneticilere güvenlik eğitimi

Bunlar baştan olmalıydı. Ev soyulduktan sonra kilit takmak gibi. Ama milyonlarca kişinin verisi söz konusu.

Gerçek Ders: Tamamen Önlenir Olabilirdi

Equifax sızıntısı sinir bozucu. Hiçbiri kaçınılmaz değildi:

  • Açık günler içinde yama alırdı
  • Segmentasyon sızıntıyı durdururdu
  • Şifreli kimlikler yayılmayı engellerdi
  • Sertifika bakımı erken yakalatırdı
  • Doğru uyarı zinciri yamayı hızlandırırdı

Yapay zeka filan gerekmezdi. Yıllardır bilinen temel güvenlik kuralları yeterdi.

Sen Ne Yapmalısın?

Ağ ya da veri yönetiyorsan:

1. Yama acil – Kritik açık duyurulduysa bekleme. Hemen uygula.

2. Ağı böl – İçeriye gireni varsay. Hareketini zorlaştır.

3. Şifreyi düz metin saklama – Asla. Şifrele ya da saklama. Kimlik doğrulama servisleri kullan.

4. Araçları güncel tut – Sertifika, anahtar, izleme yazılımı... Hatırlatıcı koy, otomatikleştir.

5. Üste bildir – C-level'lara riski anlat. Güvenlik sadece BT'nin işi değil.

6. Olay yanıtlama planı yap – İhtiyaç öncesi hazır ol.

Bireysel olarak: Ücretsiz kredi takibi aç. Kredi dondurmayı düşün. Finans kurumları adına arayanlara kanma. Yıllardır dolandırıcılar kullanıyor.

Son Söz

Equifax, ihmalkârlık ve temelleri atlamanın fırtınasıydı. Önemli mesaj: Dâhi hacker gerekmez. Temelleri atlayan şirket yeter.

Dünyanın en büyük kredi şirketlerinden biri, veriyi korumak için var olan bir yer... Onlar yapamadıysa kim yaptı? Cevap: Temelleri ciddiye alan herkes.

Etiketler ['data breach', 'cybersecurity', 'equifax', 'network security', 'data protection', 'password security', 'incident response', 'compliance']