7-Eleven Veri Sızıntısı 185.000 Kullanıcıyı Etkiledi – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

7-Eleven Veri Sızıntısı 185 Bin Kişiyi Vurdu

Japon perakende devi 7-Eleven, 7NOW teslimat uygulamasında yaşanan bir veri sızıntısı sonucu yaklaşık 185,000 kullanıcının kişisel bilgilerinin çalındığını doğruladı. Sızıntı, adresler, telefon numaraları ve kısmi ödeme bilgilerini içeriyor.

7-Eleven 7NOW uygulamasının logosunu gösteren bir akıllı telefon ve üzerinde bir kilit simgesi.

Ne Oldu

Her köşe başında karşımıza çıkan marketler zinciri 7-Eleven, bu kez raflarındaki ürünlerle değil, dijital bir krizle gündemde. Şirket, popüler teslimat uygulaması 7NOW'ın bir siber saldırıya uğradığını ve yaklaşık 185,000 kullanıcının verilerinin sızdırıldığını açıkladı. Açıklama, Cuma akşamı geç saatlerde, kimsenin pek dikkat etmeyeceği bir zamanda yapıldı. Gazetecilikte buna 'kötü haberi çöpe atmak' deriz. Belli ki birileri hafta sonu boyunca konunun unutulmasını ummuş.

Saldırının ilk olarak ne zaman gerçekleştiği tam olarak belli değil, ancak şirketin siber güvenlik ekibinin şüpheli aktiviteleri Mayıs ayının ikinci haftasında fark ettiği söyleniyor. Yani, verilerimiz belki de haftalardır siber suçluların elindeydi. Şirketin bu durumu kamuoyuna açıklaması ise neredeyse iki hafta sürdü. Bu gecikme, yasal düzenleyicilerin ve tabii ki verileri çalınan kullanıcıların tepkisini çekecektir. Günümüz dünyasında bu tür gecikmeler affedilmiyor. İnsanlar, kişisel bilgilerinin tehlikede olduğunu anında bilmek istiyor, iki hafta sonra değil.

Ele Geçirilen Veriler

Peki, tam olarak ne çalındı? Şirketin açıklamasına ve sızan bilgilere göre, bilgisayar korsanları oldukça zengin bir veri setine ulaşmış. Bu, basit bir e-posta listesi sızıntısından çok daha fazlası. İşte ele geçirilen bilgilerin bir dökümü:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Kişisel Tanımlayıcı Bilgiler: Adlar, soyadlar, e-posta adresleri ve cep telefonu numaraları. Bu üçlü, kimlik avı (phishing) saldırıları için adeta bir başlangıç paketi gibidir.
  • Fiziksel Adresler: Kullanıcıların 7NOW uygulamasına kaydettikleri ev ve iş adresleri. Bu, sadece dijital değil, fiziksel güvenlik için de bir risk oluşturabilir.
  • Doğum Tarihleri: Kimlik hırsızlığında kullanılan temel bilgilerden biri.
  • Şifrelenmiş (Hashed) Parolalar: Şirket, parolaların "hash"lendiğini söylüyor. Bu, parolaların düz metin olarak saklanmadığı, matematiksel bir algoritmayla karıştırıldığı anlamına gelir. Kulağa güvenli gelse de, kullanılan algoritmanın gücüne bağlı. Zayıf bir algoritma kullanıldıysa veya kullanıcıların parolaları "123456" gibi basitse, bu şifrelerin kırılması an meselesidir.
  • Kısmi Ödeme Bilgileri: Kredi kartlarının son dört hanesi, son kullanma tarihleri ve kart türü (Visa, Mastercard vb.). Tam kredi kartı numaraları ve CVV kodlarının çalınmadığı belirtiliyor. Bu bir nebze rahatlatıcı olsa da, bu kısmi bilgiler bile dolandırıcıların sosyal mühendislik saldırılarını daha inandırıcı hale getirmesine yetebilir.
  • Sipariş Geçmişi: Hangi ürünleri ne zaman sipariş ettiğiniz gibi bilgiler. Bu veri önemsiz gibi görünebilir, ancak dolandırıcılar "Son siparişinizdeki cips ile ilgili bir sorun var" gibi sahte bir e-posta ile sizi tuzağa düşürebilir.

Saldırının Nasıl Gerçekleştiği

7-Eleven, saldırının detayları hakkında oldukça ketum davranıyor. Ancak siber güvenlik dünyasındaki kaynaklardan sızan bilgilere göre, olay tipik bir üçüncü parti zafiyeti. Görünüşe göre saldırganlar, 7-Eleven'ın pazarlama ve veri analizi için kullandığı bir iş ortağının sistemine sızmış. Bu iş ortağının, 7NOW uygulamasının veritabanına erişim için kullandığı bir API anahtarı (bir nevi dijital anahtar) çalınmış.

API'lar, farklı uygulamaların birbiriyle konuşmasını sağlayan araçlardır. Eğer bu API'ın güvenlik ayarları zayıfsa veya erişim yetkileri gereğinden fazlaysa, bir ortağın hacklenmesi ana şirketin de hacklenmesi anlamına gelir. Zincirin en zayıf halkası kırıldığında, tüm zincir kopar. Saldırganlar bu anahtarı ele geçirdikten sonra, haftalarca fark edilmeden veri tabanından yavaş yavaş bilgi çektiler. Bu tür sızıntılar, siber güvenlikte tedarik zinciri saldırısı olarak adlandırılıyor ve giderek daha yaygın hale geliyor. Bu olay da muhtemelen yakında çeşitli Veri Sızıntısı Haberleri platformlarında detaylı analizlerle yerini alacaktır. Şirketlerin sadece kendi kalelerini değil, iş yaptıkları tüm ortakların kalelerini de düşünmeleri gerektiğini bir kez daha görüyoruz.

Etkilenenler Kim

Sızıntıdan etkilenenler, 7NOW teslimat uygulamasını kullanan veya geçmişte kullanmış olan herkes olabilir. Özellikle Kuzey Amerika ve bazı Asya ülkelerindeki kullanıcıların risk altında olduğu belirtiliyor. Eğer uygulamayı telefonunuzdan sildiyseniz ama hesabınızı tamamen kapatmadıysanız, verileriniz hala 7-Eleven'ın sunucularında duruyor olabilir ve dolayısıyla bu sızıntının bir parçası olabilirsiniz. Unutmayın, bir uygulamayı silmek, hesabınızı silmek anlamına gelmez. Bu, çoğu kullanıcının atladığı bir detay. Şirket, etkilenen 185,000 kullanıcıya doğrudan e-posta ile ulaşacağını söylüyor. Ancak bu e-postaları beklerken gardınızı düşürmeyin. Dolandırıcılar da bu durumu fırsat bilip sahte "7-Eleven Veri Sızıntısı Bildirimi" e-postaları gönderebilir.

Ne Yapabilirsin

Peki, bu durumda ne yapmalısın? Panik yapmak yerine adımlarını mantıklı bir şekilde at. İşte yapabileceklerin:

1. Durum Tespiti Yap: İlk olarak, bu sızıntıda yer alıp almadığını kontrol et. Şirketin e-postasını beklemek zorunda değilsin. Güvenilir bir Veri Sızıntısı Sorgulama hizmeti kullanarak e-posta adresinle bir arama yapabilirsin. Bu tür platformlar, sızdırılan veritabanlarını tarayarak bilgilerinin ortalığa saçılıp saçılmadığını sana söyler.

2. Şifrelerini Değiştir, Ama Akıllıca: Eğer 7NOW uygulamasında kullandığın şifreyi başka platformlarda da (sosyal medya, e-posta, bankacılık) kullanıyorsan, bu çok büyük bir hata. Hemen o platformlardaki şifrelerini de değiştir. Siber suçlular, bir yerden çaldıkları şifreleri yüzlerce başka sitede denerler. Buna "credential stuffing" denir ve şaşırtıcı derecede sık işe yarar. Her site için farklı ve karmaşık bir şifre kullan. Bir şifre yöneticisi kullanmak bu işi oldukça kolaylaştırır.

3. Oltalama Saldırılarına Karşı Gözünü Dört Aç: E-posta adresin, telefon numaran ve hatta sipariş geçmişin artık kötü niyetli kişilerin elinde. Bu, sana özel olarak hazırlanmış, oldukça inandırıcı oltalama (phishing) saldırıları alacağın anlamına geliyor. "7-Eleven'dan Hediye Çeki Kazandınız" veya "Siparişinizle İlgili Sorun" gibi başlıklı mesajlara şüpheyle yaklaş. Bilgilerini isteyen veya bir linke tıklamanı söyleyen hiçbir mesaja güvenme. Unutma, 7-Eleven senden asla şifreni veya kredi kartı bilgilerini e-posta yoluyla istemez.

4. Finansal Hareketlerini İzle: Her ne kadar tam kredi kartı numaraları sızdırılmamış olsa da, tetikte olmakta fayda var. Banka ve kredi kartı ekstrelerini düzenli olarak kontrol et. Tanımadığın, küçük bile olsa şüpheli bir harcama görürsen hemen bankanla iletişime geç.

Şirket Ne Diyor

7-Eleven tarafından yapılan açıklama, beklenen kurumsal dilin dışına çıkmıyor. Bir sözcü, "Müşterilerimizin güvenliği ve gizliliği bizim için en üst düzey önceliktir. Bu olayı öğrendiğimiz andan itibaren, durumu kontrol altına almak ve etkilenen müşterilerimizi korumak için derhal harekete geçtik," dedi. Şirket, etkilenen tüm kullanıcılara ücretsiz olarak bir yıllık kimlik hırsızlığı koruma ve kredi izleme hizmeti sunacağını da ekledi. Ancak bu hizmetin hangi ülkelerdeki kullanıcıları kapsadığı veya nasıl başvurulacağı gibi detaylar henüz belirsiz. Klasik bir hasar kontrolü çabası. Vaatler havada uçuşuyor, ancak somut adımların ne kadar hızlı atılacağını zaman gösterecek.

Kaynak

https://www.securityweek.com/185000-likely-impacted-by-7-eleven-data-breach/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı 7-Eleven Veri Sızıntısı 185 Bin Kişiyi Vurdu Sonraki Yazı → Microsoft Defender Saldırıya Uğrayan Cihazları Otomatik Kapatacak

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.