Hindistan'da yüz binlerce hassas banka transfer belgesinin güvensiz bir bulut sunucusu üzerinden kamuya açık hale gelmesi, hesap numaraları, işlem tutarları ve bireysel iletişim bilgileri gibi önemli müşteri verilerini ifşa etti. Bu durum, ülkenin finansal veri güvenliği altyapısındaki potansiyel zafiyetleri bir kez daha gündeme getirdi.
Sızıntının Ortaya Çıkışı ve Kapsamı
Siber güvenlik firması UpGuard'ın araştırmacıları, Ağustos sonunda yaptıkları keşiflerde, Amazon tarafından barındırılan ve herkese açık bir depolama sunucusunda, Hintli müşterilere ait 273.000 adet PDF formatında banka transfer belgesine rastladıklarını açıkladı. İfşa olan bu dosyalar, Hindistan'daki bankaların yüksek hacimli, yinelenen işlemleri (maaş ödemeleri, kredi geri ödemeleri ve fatura ödemeleri gibi) kolaylaştırmak için kullandığı merkezi bir sistem olan Ulusal Otomatik Takas Kurumu (NACH) aracılığıyla işlenmesi amaçlanan tamamlanmış işlem formlarını içeriyordu.
UpGuard araştırmacıları, sızan verilerin en az 38 farklı banka ve finans kurumuyla bağlantılı olduğunu belirtti. İncelenen 55.000 belgelik örneklemde, dosyaların yarısından fazlasında Hindistanlı kredi kuruluşu Aye Finance'ın adı geçerken, ikinci sırada Hindistan'ın devlete ait en büyük bankası State Bank of India yer aldı. Bu durum, sızıntının yalnızca tek bir kurumu değil, tüm finansal ekosistemi etkilediğini gösteriyor.
Sorumluluk Kimde? Kimse Suçu Üstlenmiyor
UpGuard'ın keşfinin ardından, araştırmacılar durumu önce Aye Finance'a, ardından da NACH sisteminden sorumlu hükümet kuruluşu olan Hindistan Ulusal Ödemeler Kurumu'na (NPCI) bildirdi. Ancak Eylül ayının başlarına kadar verilerin hala açıkta olduğunu ve sunucuya binlerce yeni dosya eklendiğini gözlemlediler. Bunun üzerine UpGuard, Hindistan'ın bilgisayar acil durum müdahale ekibi CERT-In'i bilgilendirdi ve kısa süre sonra ifşa olan veriler güvenli hale getirildi.
Ancak bu güvenlik ihlalinin sorumluluğunu kimse üstlenmek istemiyor. NPCI sözcüsü Ankur Dahiya, TechCrunch'a yaptığı açıklamada, sızan verilerin kendi sistemlerinden gelmediğini, detaylı incelemelerin NPCI sistemlerinden herhangi bir NACH verisinin ifşa olmadığını doğruladığını belirtti. Aye Finance CEO'su Sanjay Sharma ve State Bank of India ise konuyla ilgili yorum taleplerine yanıt vermedi.
"Detaylı bir doğrulama ve inceleme, NPCI sistemlerinden NACH yetkilendirme bilgileri/kayıtları ile ilgili hiçbir verinin ifşa edilmediğini/tehdit altında olmadığını doğrulamıştır." - NPCI Sözcüsü Ankur Dahiya
Değerlendirme: Güvenlik İhlallerinin Arka Planı ve Sonuçları
Bu tür güvenlik ihlalleri, genellikle yanlış yapılandırmalar ve insan hatalarından kaynaklanmaktadır. Modern bulut altyapılarının karmaşıklığı, doğru güvenlik protokollerinin uygulanmasını zorlaştırabilir. Örneğin, geçtiğimiz haftalarda popülaritesini artıran ve kullanıcılarına telefon görüşmelerini kaydedip yapay zeka şirketlerine veri satarak para kazanma vaadinde bulunan viral çağrı kayıt uygulaması Neon da benzer bir güvenlik açığı skandalıyla gündeme geldi. On binlerce kullanıcının telefon numaralarını, çağrı kayıtlarını ve hatta görüşme transkriptlerini istenmeyen kişilere ifşa eden bu olayda, sunuculardaki yetkilendirme kontrollerinin yetersiz olması temel neden olarak gösterildi. Neon uygulaması veri sızıntısı skandalı, hızlı büyüme vaat eden uygulamaların veri gizliliği ve güvenliği konusunda ne kadar riskli olabileceğini çarpıcı bir şekilde ortaya koydu.
Ancak burada dikkat çekilmesi gereken en önemli nokta, verilerin kim tarafından kamuya açık bırakıldığının ve sorumluluğun kimde olduğunun belirsiz kalmasıdır. Bu durum, sadece Hindistan'daki finansal kuruluşlarda değil, Neon örneğinde olduğu gibi, dünya genelindeki dijital platformlarda da veri koruma ve siber güvenlik alanındaki hesap verebilirlik eksikliğini gözler önüne sermektedir. Neon uygulamasının kurucusunun, veri sızıntısından açıkça bahsetmeden "ekstra güvenlik katmanları eklemek" gerekçesiyle uygulamayı geçici olarak kapattığını açıklaması, şeffaflık eksikliğinin yaygın bir sorun olduğunu göstermektedir. Bireylerin banka hesap numaraları, işlem geçmişleri ve iletişim bilgileri gibi hassas verilerinin bu şekilde açıkta kalması, kimlik hırsızlığı ve dolandırıcılık gibi ciddi riskler taşımaktadır. Özellikle çağrı kayıtları ve transkriptler gibi çok kişisel verilerin ifşa olması, mahremiyet ihlallerini daha da derinleştirmektedir.
Finansal kuruluşlar, uygulama geliştiricileri ve ilgili düzenleyici kurumlar, bu tür olayların tekrarlanmaması için daha sıkı güvenlik denetimleri yapmalı, çalışan eğitimlerini artırmalı ve kriz anında şeffaf bir iletişim stratejisi benimsemelidir. Zira veri güvenliği ihlalleri, sadece bireylerin değil, finansal sistemlere ve dijital platformlara olan genel güvenin de aşınmasına neden olabilir. Bu olaylar, bulut tabanlı hizmetlerin ve yeni nesil uygulamaların yaygınlaşmasıyla birlikte veri güvenliğinin ne kadar kritik bir önem taşıdığını ve sürekli tetikte olunması gerektiğini bir kez daha hatırlatmaktadır.
Bu haberin kaynağına TechCrunch makalesinden ulaşabilirsiniz.
