Sertifikalar, devam listeleri, değerlendirmeler, sağlık verileri: Şantajcıların Rheinland-Pfalz'daki 40'tan fazla okuldan çaldığı veri seti, okul yönetiminin tüm yönlerini kapsıyor. Dosya listesi tek başına 500 MB'ı kapsıyor ve Excel elektronik tablolarından okul gezisi videolarına kadar 2,2 milyon dosyayı listeliyor. Suçlular Ocak ayının sonuna kadar toplamda 2 terabayttan fazla çalıntı veri yayınladılar ve bunların çoğu oldukça hassastı. Artık etkilenen bir kişi yetkili denetim makamındaki avukatına şikayette bulundu ve hem etkilenen BT hizmet sağlayıcısı hem de Speyer şehri yayına yanıt verdi.
Duyurudan sonra devamını okuyun
Topackt IT Solutions GmbH yöneticisi 5 Mart tarihli bir basın açıklamasında şunları doğruladı: “Dünden bu yana, danışılan verilerin tanınmış bir hacker grubu tarafından karanlık ağda yayınlandığına ve oradan erişilebildiğine dair onay geldi.” Artık tüm veriler görüntülenecek ve etkilenen kuruluşlar ilgili verilerin kapsamı hakkında hedef odaklı ve şeffaf bir şekilde bilgilendirilecek. Şirket ayrıca moderasyonun “verilere daha fazla dikkat çekmemesi ve daha fazla dağıtımını engellememesi” yönünde çağrıda bulunuyor.
Öğrenci güvenlik endişelerini bildirdi
Önceki gün Speyer şehri de kısa bir açıklama yaparak sızdırılan verileri incelediğini açıklamıştı. Ancak etkilenen bir kişi için bu “dikkatli inceleme” yeterince hızlı gerçekleşmedi. Bir Speyer okulunun eski öğrencisi, Darknet'te ipuçları aramaya başladı ve Lockbit fidye yazılımı sızıntı sitesinde onun iletişim bilgilerini, devamsızlıklarını ve okul kariyerine ilişkin diğer bilgileri keşfetti. Avukatı aracılığıyla Rheinland-Pfalz eyaletinin veri koruma memuruna ciddi suçlamalarda bulundu.
Henüz okuldayken, 2023'ün sonlarında okulunun sunucusundaki güvenlik sorunlarını servis sağlayıcıya bildirdi, ancak görmezden gelindiğini hissetti. Eski öğrenci artan güvenliğe ilişkin izlenimlerini şu şekilde açıklıyor: “BT hizmet sağlayıcısı pek çok şeyi küçümsedi: Böyle bir şey yapmak suç enerjisi gerektirir ve böyle bir şeyi yapabilecek çok fazla öğrenci yoktur.” Ona göre çok az şey yapıldı. Öğrenci Wi-Fi'si kısıtlandı, düz metin şifre dosyası şifrelendi ve bazı kullanıcıların şifreleri değiştirildi. Öğrencinin okul sunucusunun güvenliğini yeniden test etme teklifi başarısız oldu.
Yaklaşık bir yıl sonra, Ocak 2025'te Lockbit fidye yazılımının bir “bağlı kuruluşu”, hizmet sağlayıcı Topackt'e saldırdı ve toplam 45 sunucuyu şifreledi. Grupta her zaman olduğu gibi, suçlular verilerin bir kopyasını çıkarıp internetten kaçırdılar; ayrıca Topackt'ten 30 Ocak'a kadar sızıntı siteleri aracılığıyla kendileriyle iletişime geçmesini istediler. Haberler Security şirketi o sırada saldırıyı ve saldırganların kimliğini zaten doğrulamıştı: Lockbit'in bunu yayınlamak için neden bir yıldan fazla beklediği belli değil.
Lockbit, Rheinland-Pfalz'daki okullardan terabaytlarca veri çıkardı ve bunu karanlık ağda yayınladı.
Şikayetçi artık öğrenci değil, Bamberg'deki bir BT güvenlik şirketinde çalışıyor. Speyer ve Topackt şehirlerini veri güvenliğini sağlamak için gerekli önlemleri almamakla suçluyor. Ayrıca mektupta avukatına göre belediye, etkilenenlere eksik bilgi verdi. Avukat Maisch, “Onlara olayın kapsamı hakkında bilgi verilmedi ve kişisel veri ihlalinin olası sonuçlarına ilişkin bir açıklama yapılmadı (!)” diye yazıyor.
Duyurudan sonra devamını okuyun
Yayınlanan verileri rastgele inceledik. Bunlar bir okul yönetiminin bilgisayarından bekleyeceğimiz şeye karşılık gelir ve ne yazık ki bazı dosyalar bağlı okulların ve muhtemelen servis sağlayıcının güvenlik düzeyine ilişkin derinlemesine bilgi sağlar. Görünüşe göre pek çok okul, öğrencilerine, en son teknolojiye uymayan, her sınıf arkadaşı için açık olan, tahmin edilmesi kolay bir şemaya göre şifreler atamaktadır – ancak can sıkıcı BT ortamlarını kurtarmaya yardımcı olmaktadır. Altı yüzden fazla hesapta aynı altı haneli küçük şifre vardı ve kötü şöhretli “123456”, “başlat” ve “test” şifreleri de birkaç yüz hesapta görülüyordu. Verileri en verimli şekilde kullanan şifre “1” 31 kez atanmıştır ve gerektiğinde tek bitlik bir veri yapısına kaydedilebilir.
İncelemeler ve öğretmen referanslarının yanı sıra okul gezilerinin fotoğraf ve videolarını da bulduk. Veriler yanlış ellere geçtiğinde kimlik hırsızlığına ve siber zorbalığa yol açabilir. Ancak Lockbit görünüşe göre bundan kâr elde edemedi. Uygulama kapsamları çok sınırlıdır.
Servis sağlayıcı suçlamalara karşı kendini savunuyor
Topackt'ten gözlemlerimiz ve eski öğrencinin iddiaları hakkında yorum yapmasını istedik. Topackt CEO'su Michael Nist bize çok detaylı bir şekilde yanıt verdi ve güvenlik ihlalinin nasıl meydana gelmiş olabileceğini ayrıntılarıyla anlattı. Otomatik olarak kurulan sistemler için standart altı harfli şifre önceden belirlenmiş ve bazı şifre kuralları okullarla ayrı ayrı anlaşmaya varılmıştır. Bu aynı zamanda öğrencilerin farklı BT becerilerini de hesaba katmak için gereklidir. 2025 saldırısından bu yana okullara tüm şifreleri acilen değiştirmeleri tavsiye edildi.
Ancak Nist, etkilenen kişinin ifadesine şiddetle karşı çıktı. Kendisine saygıyla davranıldı, ancak sınıf arkadaşlarından yalnızca birkaçının o zamanlar 17 yaşında olan çocuğun uzmanlık bilgisine sahip olduğu belirtildi. Hemen tepki gösterdiler, ancak bazı değişiklikler okul faaliyetlerinde aksamalara ve en azından okul yetkilileri için önemli maliyetlere yol açtı. Nist güvenliğe şunları söyledi: “Bu nedenle hiçbir şeyin değişmediği iddiasını şiddetle reddediyoruz.” Ayrıca Topackt artık güvenlik mimarisini tamamen yeniledi, erişimi kısıtladı ve bazı okul yetkilileriyle EDR çözümleri kurdu.
Nist, ne Topackt ne de LKA'nın Lockbit bağlı kuruluşunun okul ağına nasıl sızmayı başardığını belirleyemediğini söyledi. Fail muhtemelen bir kimlik avı saldırısı yoluyla erişim elde etmiştir, ancak saldırının eski öğrencinin yıllar önce gösterdiği güvenlik açığıyla hiçbir ilgisi yoktur. Bu, okuldaki fiziksel mevcudiyete dayanıyordu.
(cku)
Bir yanıt yazın