GitHub’da yayınlanan CapitalOne veri Sızıntısı inceleme

Bu yazıda CapitalOne sunucularından sızdırılan ve GitHub üzerinde yayınlanan yaklaşık 100.000.000 kullanıcı verisi üzerine açılan dava dosyasını inceleyeceğiz.

Tüm bilgiler dava dosyasından derlenerek özetlenmiştir. Dava dosyasının orijinali burada bulunabilir. (  )

Veri sızıntısı olayının özeti

CapitalOne müşteri bilgilerini bulut tabanlı bir Veritabanı sunucuda tutuyor. Bulut servis sağlayıcısının eski bir çalışanı önce CapitalOne Firewall’u üzerinden yetkisiz erişim sağlıyor. Sonra bulut tabanlı Veritabanı sunucudan elde ettiği 100MB dosyayı GitHub’a yüklüyor. (Not: Dava dosyasında public bulut servis sağlayıcısına karşı hiç bir suçlama olmadığı için servis sağlayıcı ismini bu yazıda belirtmiyorum ancak dava dosyasında açıkça belirtilmiş.)

Olayın tarihçesi

  • Capitalone 2015 yılında kritik bilgilerini bulut servis sağlayıcına taşıdığını duyuruyor. (Rakipleri kontrollü bir şekilde bulutu benimsemeye çalışırken kendilerinin hızlı bir sekilde buluta taşınması, gerekli önlemleri almayarak haksız rekabet sağladığı ve ayrıca bunu duyurması konusunda eleştirilse de Bulut servis sağlayıcı bu davada taraf değil.
  • Mart 2019’da firewall kırılarak iç ağa erişim sağlanıyor. (Güvenliğin ihmal edildiği belirtilmiş.)
  • 12 Mart 2019’da CapitalOne loglarında bulut tabanlı veritabanı sunucularına yetkisiz erişim sağlandığı raporlanıyor. (Bunun CapitalOne tarafından neden ihmal edildiği dosyada belirtilmiyor.)
  • Saldırgan birkaç online sayfa ve bir toplantıda verileri sızdırdığını, bunları yayınlayabileceğini belirtiyor.
  • 21 Nisan 2019’da saldırgan müşteri bilgilerini Github’da yayınlıyor. (Github dosya bilgisindeki zaman damgasına göre.)
  • 17 Temmuz 2019’da bir Github kullanıcısı durumu CapitalOne’a bildiren bir eposta gönderiyor.
  • 29 Temmuz 2019’da CapitalOne veri sızıntısı ile ilgili duyuruyu yapıyor. 
  • 1 Agustos 2019’da zarar görenler adına en az 5.000.000USD olmak üzere ilk dava açılıyor.

Davalılar ve suçlamalar

Capital one

  • Güvenlik güncellemelerini geriden takip etmek. (Firewall üzerinden yetkisiz erişim)
  • Log dosyasındaki bildirimi ihmal etmek. 
  • Saldırganın online bildirimlerine kayıtsız kalmak.
  • E-posta üzerinden bildirilen veri sızıntısı üzerine geç harekete geçmek.

GitHub

  • Sunucuları üzerinde tutulan 100.000.000 kullanıcı bilgisini tespit edememek
  • Bilgiye erişimi zamanında kısıtlamamak
  • Saldırganın hesabını zamanında askıya almamak.

Not:Saldırganın bu ve muhtemel diğer suçları bu davanın konusu olmayıp ayrıca yasal işlem yapılıyor.

Bence, her ne kadar veriler bulut sunucudan sızdırılmış sonrasında başka bir bulut servisi üzerinden yayınlanmış olsa da, ihmaller zinciri sonucunda gelinen son noktada bulut servislerinin değil de güvenlik politikalarının ve ugulamanın yeniden incelenmesi gerekiyor.

Saygılarımla,

Mustafa Kemal FURAT