şükela:  tümü | bugün
  • kişisel ya da profesyonel olarak hizmet sunan bir kredi takip şirketi
    http://www.equifax.com/
  • gmail'in https sertifikasını imzalamış şirket.
  • sahsimin bilgilerine sahip sirket. iki eliyle bir seyi dogrultamamistir.

    lan sen amerika'nin en buyuk 3 kredi notu kurulusundan birisin. sen de hackleniyorsan ne anladim ben bu siber guvenlikten.
  • (bkz: you had one job)

    amlarina koyayim ben onlarin.
  • web uygulamalarına ait bir zaafiyetle sızdırılmış veriler. akıllara sitelerine ssl alıp, istismarı basit sql injection'ları iplemeyen türk şirketleri gelmiştir :)

    mandiant hala forensics çalışmalarına devam ediyormuş.

    olay epey büyüyecek gibi.

    türkiye'de sızıntıları daha "fark edemememe" aşamasındayız. yarın öbürgün biz de sızdırılan/satılan verilerden en azından "haberdar" olmaya başlarız umarım. mevcut "siber güvenlik" bürokrasimiz yerlerde. kvkk kurulu kuruldu ama 'siber' adına tek söz duyamadık daha.

    siz her durumda owasp 10 ve sans 20 critical control'ü ihmal etmeyin.

    adam olun.
  • yakında çok büyük ses getirecek ve kendisini pek hissettirmese de büyük değişimlere yol açacak büyüklükte bir siber saldırıya uğramış dünya'nın en büyük kredi derecelendirme şirketlerinden biri. şu an için sadece abd'de 143 milyon kullanıcısının -aslında dolaylı yoldan kullanıcı- bilgileri sızmıştır. diğer ülkelerdeki durum henüz net değildir.
  • kullanici bilgileri sizanlar arasindayim, "11 eylul'de detayli bakacagiz" deyip baslarindan savdilar. dava acilirsa, ki bence kesin acilir, buyuk cezalar odeyecek sirket. umarim iflas ederler de biz de kurtuluruz.

    yahu sen kimsin? necisin? benden izin mi aldin benim kredi bilgilerimi tutmak icin? almadin. senden rapor almak icin para veriyoruz sana, ustelik cogu zaman da ufak tefek yanlislar var verdigin raporda, duzelttirmek icin kicimiz cikiyor. ustune bir de gittin, benden izin almadan edindigin benim bilgilerimi caldirdin. simdi bir de senin yaptigin hata yuzunden tonla para ve zaman akitip kendimizi guvenceye alacagiz.

    batin, iflas edin de kurtulalim yahu, bu neymis.

    daha yoneticilerinin skandalin patlamasindan hemen once hisse satmalarina girmedim bile. umarim hakettikleri cezayi alirlar.
  • 143 milyon kişinin kimlik ve kredi bilgilerini çaldırmaları üzerine kendilerine 70 milyar dolarlık (evet milyar dolar) dava açılmıştır (bkz: class action).

    https://www.bloomberg.com/…tibillion-dollar-lawsuit

    şimdilik iddialar şunlar:
    - para harcamamak için gerekli güvenlik önlemlerini almıyorlar
    - güvenlik zaafını temmuz'da keşfediyorlar, eylül'e kadar açıklamıyorlar
    - veri çalınmasını halka açıklamadan önce üst düzey yöneticileri sahip oldukları hisseleri satıyorlar. bugün equifax hisseleri %13.66 düştü.

    üstüne üstlük bu orçolar böyle bir veri çalınması durumunda kurbanlar bunları mahkemeye veremesin diye lobi yapmışlar:
    http://www.ibtimes.com/…ctims-data-breaches-2587929

    --- spoiler ---

    federal documents reviewed by ınternational business times show that in response to that 2016 rule, the consumer data ındustry association (cdıa) — which says it is “the trade association which represents equifax” — pressed regulators to back off the proposed prohibitions, saying the regulations would subject data companies to tough penalties if during a class action suit they were found to have broken the law.
    --- spoiler ---

    bitti mi? hayır. bilgilerin çalınıp çalınmadığını öğrenmek için kurdukları test sitesi herkese "bilgileriniz çalındı" yanıtı veriyor. birisi bunu rastgele isim ve sosyal sigorta numaraları girerek test etmiş; sonuç aynı. gerçekte var olmayan kişi adları ve numaraları bile girilse site pozitif sonuç veriyor. test eden kişi en son soyadı olarak "elmo" ve sosyal sigorta numarası olarak 123456 girince negatif yanıt almış. tam bir rezalet. rezalet gibi rezalet.

    --- spoiler ---
    so then ı decided to test the system with a different last name and six random numbers. ı used the more popular english spelling of my last name for this purpose, entering “burr” instead of “buhr” and entered six random numbers ı don’t even remember now.

    sure enough, this made-up person had also been impacted. ı tried it over and over again and got the same message. the only time ı did not get the message ı’d been impacted was when ı entered “elmo” as the last name and “123456” as my social security number.
    --- spoiler ---

    https://techcrunch.com/…-been-impacted-by-the-hack/

    bitti mi? yine hayır. bilgiler çalınmış mı diye bakılan site adresi (https://www.equifaxsecurity2017.com/) 22 ağustos'ta satın alınmış. yani yöneticilerin bal gibi olaydan haberleri vardı. bu da kendileri hakkında insider trading davası açılmasının önünü açıyor.

    sikin, batırın orospu çocuklarını. bak bi daha yapıyorlar mı (bkz: arthur andersen)(bkz: experian)(bkz: transunion)

    güncelleme: zaman geçtikçe yeni bilgiler ortaya çıkıyor. çalınan 143 milyon kişinin bilgisi 2 kişi tarafından çalınmış. bu kişiler equifax 2.6 milyon dolar ödemezse bilgileri 15 eylül'de herkese açıp, satacağız diyorlar. neden 2.6 milyon dolar. bu miktar equifax yöneticilerinin veri hırsızlığını halka açıklamadan önce sattıkları hisselerin tutarı. acaba diyorum bu kişiler equifax'in eski çalışanları mı?

    http://www.ibtimes.com/…-not-yet-it-will-be-2587884

    güvenlik uzmanı brian krebs ise işin içinde mandiant şirketi olunca (equifax'in konu hakkında tuttuğu sanal güvenlik şirketi) genelde saldırganlar hükümet kökenli oluyor diyor.

    --- spoiler ---

    ı have no special insight on who was responsible for the equifax breach. but usually when mandiant is involved, it's state-sponsored.
    --- spoiler ---

    https://twitter.com/…rebs/status/906316743559262208
  • amına koduğumun orrospu çocuğu şirketi. bu olayın takipçisi olucam, pezevengin evlatları.

    şimdilik new york, pennsylvania, illinois eyaletleri veri çaldırmaları hakkında soruşturma başlatmıştır.

    https://www.cnbc.com/…tion-into-equifax-breach.html
    http://www.chicagotribune.com/…-20170908-story.html

    temsilciler meclisi enerji ve ticaret komitesi ile ticaret komitesi ifade vermek üzere equifax yetkililerini davet etmişler.

    https://www.reuters.com/…-data-breach-iduskcn1bj239

    equifax'in federal ve eyalet yasalarına göre kurbanlara bildirim yapması gerekiyor (sizin aslında gidip bilgilerim çalınmış mı diye bakmanızın gerekmemesi lazım). bunu yapmazsa ceza alabiliyorlar yasa ihlalinden. adamların "bilgilerim çalındı mı?" telefonunu arıyorsunuz telefona çıkan elemanlar "bilgilerinize ulaşma yetkim yok. zaten ben de equifax çalışanı değilim. equifax'in tuttuğu bir taşeron müşteri hizmetleri şirketinde" çalışıyorum diyor. equifax'e ulaşabilirseniz, çalışanları "aaaa veriler mi çalınmış, hiç haberimiz yok" diyor.

    https://www.bloomberg.com/…uifax-after-massive-hack

    aşağıda brian krebs'in konu hakkında bilgilendirici bir yazısı var:
    https://krebsonsecurity.com/…e-turns-dumpster-fire/

    verdiğim bağlantılarda yapmanız gerekenlerin çoğu açıklanıyor.
  • "based on the information provided, we believe that your personal information was not impacted by this incident."
    ben yirtmisim da acilan davalardan bu sirket yirtar mi bilemem