Olayın Arka Planı
Carrefour S.A., 2023 yılı içinde Fransız Veri Koruma Otoritesi’ne (DPA) beş ayrı veri ihlali bildiriminde bulundu. Şirket, ihlallerin büyük olasılıkla “credential stuffing” yoluyla (başka kaynaklardan sızdırılmış kullanıcı bilgilerinin yeniden kullanımı) gerçekleştiğini belirtti. Ancak ilk ihlalin Ekim 2022'de fark edilmesine rağmen, bildirim Ocak 2023'e kadar yapılmadı.
Carrefour’a göre ihlalden etkilenen kullanıcı sayısı 974 idi; ancak DPA, yaklaşık 119.000 hesabın etkilendiğini tespit etti. Erişim sağlanan veriler arasında kullanıcıların ad-soyad bilgileri, iletişim bilgileri ve adresleri yer alıyordu.
Credential stuffing Nedir?
Farklı platformlarda ele geçirilmiş kullanıcı adı ve şifre kombinasyonlarının başka sitelerde otomatik olarak denenmesiyle yapılan bir siber saldırı yöntemidir. Saldırganlar, daha önce gerçekleşmiş veri ihlallerinden sızan giriş bilgilerini kullanarak binlerce siteye aynı kombinasyonlarla giriş yapmayı dener. Bu saldırı yöntemi, kullanıcıların farklı platformlarda aynı şifreleri kullanması nedeniyle oldukça yüksek başarı oranına sahiptir.
Genellikle botlar aracılığıyla yürütülen bu saldırılar, düşük maliyetli ve tespiti zor olduğu için siber suçlular arasında yaygındır. Başarılı girişlerde saldırganlar, ele geçirilen hesaplar üzerinden alışveriş yapabilir, sadakat puanlarına erişebilir veya kişisel verileri üçüncü taraflara satabilir. Özellikle büyük müşteri tabanına sahip şirketler, bu tür saldırılarla binlerce kullanıcının verisini riske atabilir.
Bu durum yalnızca güvenlik açısından değil, veri koruma uyumu açısından da ciddi sorunlar doğurur. GDPR kapsamında, yeterli teknik ve organizasyonel önlemlerin alınmaması (Madde 32), şeffaflık ilkesine aykırı iletişim (Madde 5) ve geç ya da eksik bildirim (Madde 34) ağır yaptırımlara yol açabilir.
Credential stuffing’e karşı alınabilecek önlemler arasında iki faktörlü kimlik doğrulama (2FA) sistemleri, davranışsal analiz içeren giriş kontrolleri, kullanıcıları parola güvenliği konusunda bilinçlendirme ve ihlal durumlarında şeffaf iletişim ön planda yer alır.
Temel Bulgular
- Zayıf Güvenlik Önlemleri: DPA, Carrefour’un GDPR Madde 32 kapsamındaki güvenlik yükümlülüklerini yerine getirmediğini, 5(1)(f) maddesinde belirtilen veri bütünlüğü ve gizliliği ilkesini ihlal ettiğini belirtti.
- Geç Bildirim ve Yanıltıcı İletişim: Şirket, bazı müşterilere yalnızca parola değişikliğine dair genel bir bilgilendirme gönderdi. Gerçek ihlalden bahsedilmedi ve riskler konusunda bilgi verilmedi.
- Proaktif Önlem Eksikliği: Şirket, beşinci ihlale kadar iki faktörlü kimlik doğrulama (2FA) gibi temel güvenlik önlemlerini hayata geçirmedi. Halbuki düzenli yapılan denetimlerde alınması gereken önlemler önerilmişti.
Karar ve Gerekçeler
DPA, Carrefour’u üç ana ihlal üzerinden toplamda 3,2 milyon Euro para cezasına çarptırdı:
- 2.000.000 €: Madde 5(1)(f) – güvenlik ilkesinin ihlali
- 1.000.000 €: Madde 32 – teknik ve organizasyonel güvenlik tedbirlerinin eksikliği
- 200.000 €: Madde 34 – etkilenen kişilere bildirim yapılmaması
Ayrıca, etkilenen veri sahiplerinin açıkça bilgilendirilmesi için Carrefour’a yükümlülük getirildi. Bu bilgilendirme yapılmazsa, ek yaptırımlar uygulanacağı belirtildi.
Analizim
Carrefour örneği, büyük veri setlerine sahip şirketlerin yalnızca saldırılara karşı reaksiyon göstermesinin yeterli olmadığını, proaktif güvenlik politikaları ve şeffaf iletişimin veri koruma rejimlerinin temel taşı olduğunu bir kez daha ortaya koydu.
Sizce şirketler, veri güvenliğinde neden çoğu zaman proaktif değil, reaktif davranıyor? Risk algısı mı eksik, yoksa iş sürekliliği kaygısı mı ağır basıyor? Yorumlarda buluşalım.
Kaynak: https://gdprhub.eu?title=AEPD_(Spain)_-_EXP202305979&mtc=today