Infinite Campus Veri Sızıntısı: 137.000 Okul Personel Hesabının Etkilenmesi ve Güvenlik Önlemleri

Sorun Tanımı

Mart ayında gerçekleşen bir Salesforce veri hırsızlığı saldırısı, Infinite Campus K-12 öğrenci bilgi sistemini hedef aldı. Bu saldırı sonucunda, ShinyHunters fidye grubu tarafından 137.000 okul personeline ait kişisel veriler çalındı. Veri sızıntısı, okullarda kullanılan ve öğrenci kayıtları, personel bilgileri ve akademik veriler gibi hassas bilgileri barındıran bu sistemin güvenliğinin ne kadar kritik olduğunu ortaya koydu.

Saldırganlar, Salesforce platformundaki bir güvenlik açığından faydalanarak sisteme sızmayı başardı. Bu durum, okul yönetimlerinin ve IT ekiplerinin bulut tabanlı sistemlerdeki veri koruma stratejilerini yeniden değerlendirmeleri gerektiğini göstermektedir. Veri sızıntısının boyutu ve etkilenen personel sayısı, saldırının ulusal çapta bir etkiye sahip olduğunu da ortaya koymaktadır.

Etkilenen Veriler

Sızıntıya uğrayan veriler arasında aşağıdaki bilgiler yer almaktadır:

• Kişisel bilgiler: Ad, soyad, adres, telefon numarası, e-posta adresi.
• Kimlik bilgileri: Doğum tarihi, sosyal güvenlik numarası (varsa).
• İş bilgileri: Görev unvanı, okul adı, departman bilgileri.
• Finansal bilgiler: Banka hesap detayları (eğer sistemde kayıtlıysa).
• Akademik veriler: Öğrenci kayıtları, notlar, devamsızlık bilgileri (personel erişimine açık olanlar).

Çözüm Adımları

1. Acil Durum Müdahalesi ve Bildirim Süreci

1. Saldırı Tespiti:

   Infinite Campus ve Salesforce ekipleri, saldırının tespit edilmesi ve doğrulanması için aşağıdaki adımları izlemelidir:

   # Salesforce Log Analizi (örnek komut)
   sfdx force:apex:log:list --targetusername 
   sfdx force:apex:log:get --logid  --targetusername 

   Uyarı: Log analizinde anormal aktiviteler (örneğin, yetkisiz API çağrıları) tespit edilmelidir. Salesforce'un Event Log Files özelliği kullanılarak detaylı inceleme yapılabilir.

2. Veri Sızıntısının Doğrulanması:

   Infinite Campus, etkilenen verilerin kapsamını belirlemek için aşağıdaki adımları takip etmelidir:

   # Veri tabanı sorgusu (örnek SQL)
   SELECT COUNT(*) FROM staff_accounts WHERE breach_status = 'compromised';
   SELECT * FROM staff_accounts WHERE breach_status = 'compromised' LIMIT 100;

   İpucu: Veri tabanı sorgularında, kişisel verilerin şifrelenip şifrelenmediği kontrol edilmelidir. Şifrelenmemiş veriler daha yüksek risk taşır.

3. Yetkililere ve Etkilenen Kişilere Bildirim:

   Aşağıdaki kurumlara ve bireylere acil bildirim yapılmalıdır:

   • Eyalet ve yerel yönetimler (veri koruma yasalarına göre).
   • Etkilenen personel (e-posta, posta veya SMS yoluyla).
   • Veri koruma kurumları (örneğin, Kişisel Verileri Koruma Kurumu - KVKK).

   # Bildirim örneği (Python - e-posta gönderimi)
   import smtplib
   from email.mime.text import MIMEText
   
   subject = "Önemli: Veri Sızıntısı Bildirimi"
   body = "Sayın Yetkili,\n\nInfinite Campus sisteminde gerçekleşen bir veri sızıntısı nedeniyle kişisel verileriniz risk altındadır. Lütfen aşağıdaki adımları takip edin..."
   
   msg = MIMEText(body)
   msg['Subject'] = subject
   msg['From'] = "güvenlik@infinitecampus.org"
   msg['To'] = "yetkili@okul.edu.tr"
   
   with smtplib.SMTP('smtp.infinitecampus.org', 587) as server:
       server.starttls()
       server.login("güvenlik@infinitecampus.org", "<şifre>")
       server.send_message(msg)

2. Güvenlik Açığının Kapatılması ve Sistem Güçlendirme

1. Salesforce Güvenlik Ayarlarının Güncellenmesi:

   Salesforce platformunda aşağıdaki güvenlik önlemleri uygulanmalıdır:

   # Salesforce güvenlik ayarları (örnek Apex kodu)
   // Multi-Factor Authentication (MFA) zorunlu hale getirme
   List users = [SELECT Id FROM User WHERE IsActive = true];
   for (User u : users) {
       u.UserPreferencesMFAEnforced = true;
       u.UserPreferencesLightningLoginEnforced = true;
   }
   update users;
   
   // API erişim kısıtlamaları
   Profile p = [SELECT Id FROM Profile WHERE Name = 'System Administrator'];
   p.apiAccessRestricted = true;
   update p;

   Uyarı: MFA, fidye gruplarının hesaplara erişimini zorlaştırır. Salesforce'un High Assurance Session Policies özelliği de etkinleştirilmelidir.

2. Infinite Campus Veri Tabanının Güçlendirilmesi:

   Veri tabanı güvenliğinin sağlanması için aşağıdaki adımlar izlenmelidir:

   # PostgreSQL veritabanı güvenlik ayarları (örnek)
   -- Kullanıcı izinlerinin yeniden düzenlenmesi
   REVOKE ALL PRIVILEGES ON DATABASE infinite_campus FROM public;
   GRANT CONNECT ON DATABASE infinite_campus TO staff_app_user;
   GRANT SELECT, INSERT, UPDATE ON TABLE staff_accounts TO staff_app_user;
   
   -- Veri şifreleme (örnek)
   ALTER TABLE staff_accounts ALTER COLUMN ssn TYPE BYTEA;
   UPDATE staff_accounts SET ssn = pgp_sym_encrypt(ssn, 'veri_sifreleme_anahtari');

   İpucu: Veri tabanında column-level encryption kullanmak, sızıntı durumunda verilerin korunmasını sağlar. PostgreSQL için pgcrypto modülü kullanılabilir.

3. Sistem İzleme ve Uyarı Mekanizmalarının Kurulumu:

   Olası gelecek saldırıları tespit etmek için aşağıdaki izleme sistemleri kurulmalıdır:

   # SIEM sistemi (örnek Splunk sorgusu)
   sourcetype="salesforce:eventlog"
   | search EventType IN ("API", "Login", "Logout")
   | stats count by UserId, ClientIp, EventType
   | where count > 100

   Öneri: Salesforce'un Shield Platform Encryption ve Event Monitoring özellikleri kullanılmalıdır. Ayrıca, AWS GuardDuty gibi bulut tabanlı izleme araçları da entegre edilebilir.

3. Personel ve Öğrenci Verilerinin Korunması

1. Veri Minimizasyonu ve Erişim Kontrolleri:

   Sistemde depolanan verilerin minimize edilmesi ve erişim kontrollerinin sıkılaştırılması gerekmektedir:

   # Veri tabanı erişim logları (örnek)
   -- PostgreSQL için erişim logları
   LOG_statement = 'all'
   LOG_destination = 'csvlog'
   logging_collector = on
   
   -- Erişim kontrolleri (örnek SQL)
   CREATE ROLE data_minimizer WITH NOLOGIN;
   GRANT SELECT ON staff_accounts TO data_minimizer;
   REVOKE INSERT, UPDATE, DELETE ON staff_accounts FROM data_minimizer;

   Uyarı: Principle of Least Privilege (PoLP) ilkesi uygulanmalıdır. Personel, sadece görevleri için gerekli verileri görüntüleyebilmelidir.

2. Şifreleme ve Tokenizasyon:

   Kritik verilerin şifrelenmesi ve tokenize edilmesi önerilmektedir:

   # Veri tokenizasyonu (örnek Python kodu)
   from tokenize import Tokenizer
   
   tokenizer = Tokenizer('veri_tokenization_key')
   sensitive_data = "123-45-6789"  # SSN örneği
   tokenized_data = tokenizer.tokenize(sensitive_data)  # Token oluştur
   
   # Veritabanına kaydet
   cursor.execute("UPDATE staff_accounts SET ssn_token = %s WHERE id = %s", (tokenized_data, 1))

   İpucu: Tokenizasyon, verilerin orijinal hallerinin saklanmasını engeller. PCI DSS ve GDPR standartlarına uygun çözümler tercih edilmelidir.

3. Personel Farkındalığı ve Eğitimi:

   Okul personelinin siber güvenlik konusunda eğitilmesi ve farkındalık oluşturulması kritik öneme sahiptir:

   # Güvenlik eğitimi içeriği (örnek)
   1. Phishing saldırılarının tanınması
   2. Güçlü şifreler oluşturma ve yönetme
   3. MFA kullanımının önemi
   4. Veri sızıntısı durumunda yapılacaklar
   5. Raporlama prosedürleri

   Öneri: Eğitimler, simülasyonlar ve gerçek vaka analizleri ile desteklenmelidir. Örneğin, KnowBe4 veya PhishMe gibi platformlar kullanılabilir.

Önleyici Tedbirler ve En İyi Uygulamalar

Salesforce için En İyi Uygulamalar

• Çok Faktörlü Kimlik Doğrulama (MFA): Tüm kullanıcılar için MFA zorunlu hale getirilmelidir.
• API Erişim Kısıtlamaları: API erişimi sadece gerekli olan kullanıcılar ve uygulamalar için verilmelidir.
• Veri Kaybını Önleme (DLP): Salesforce'un Shield Platform Encryption ve DLP politikaları etkinleştirilmelidir.
• Olay İzleme ve Uyarılar: Event Log Files ve Shield Event Monitoring kullanılarak anormal aktiviteler tespit edilmelidir.
• Düzenli Güvenlik Denetimleri: Salesforce'un Security Health Check aracı kullanılarak sistem güvenliği periyodik olarak denetlenmelidir.

Infinite Campus için En İyi Uygulamalar

• Veri Tabanı Şifreleme: Tüm hassas veriler column-level encryption ile şifrelenmelidir.
• Erişim Kontrolleri: Role-Based Access Control (RBAC) uygulanmalıdır. Personel, sadece görevleri için gerekli verileri görüntüleyebilmelidir.
• Veri Yedekleme ve Kurtarma: Düzenli yedeklemeler alınmalı ve disaster recovery planı oluşturulmalıdır.
• Üçüncü Parti Denetimleri: Sistem, SOC 2 veya ISO 27001 gibi standartlara göre periyodik olarak denetlenmelidir.
• Kullanıcı Davranış Analizi (UBA): SIEM sistemleri kullanılarak kullanıcı aktiviteleri izlenmeli ve anormal davranışlar tespit edilmelidir.

Sonuç ve Öneriler

Infinite Campus veri sızıntısı, okul sistemlerinde siber güvenliğin ne kadar kritik olduğunu bir kez daha gözler önüne serdi. Bu tür saldırılar, kişisel verilerin korunması, yasal uyumluluk ve itibar yönetimi açısından ciddi riskler taşımaktadır. Okul yönetimleri ve IT ekipleri, aşağıdaki adımları acilen uygulamalıdır:

• Aciliyetle saldırı tespiti ve müdahale planlarını uygulamak.
• Güvenlik açıklarını kapatmak ve sistemleri güçlendirmek.
• Personeli siber güvenlik konusunda eğitmek ve farkındalık oluşturmak.
• Düzenli olarak güvenlik denetimleri ve testleri gerçekleştirmek.
• Üçüncü parti güvenlik çözümleri ve danışmanlık hizmetleri kullanmak.

Unutulmamalıdır ki, siber güvenlik bir süreçtir ve sürekli iyileştirme gerektirir. Infinite Campus ve benzeri sistemlerin kullanıcıları, verilerinin korunması için gerekli tüm adımları atmakla yükümlüdür. Bu makalede sunulan çözüm adımları ve en iyi uygulamalar, gelecekteki saldırıları önlemek ve verilerin güvenliğini sağlamak için rehber niteliği taşımaktadır.

Kaynaklar ve Referanslar

• BleepingComputer: Infinite Campus Data Breach
• Salesforce Security Health Check
• Salesforce Security Implementation Guide
• PostgreSQL Encryption Options
• GDPR Regulation
• PCI DSS Standards