Lidl Online Market Breach Olayı: Hizmet Sağlayıcı Saldırısı ve Kişisel Veri Sızıntısı

Alman indirim marketi Lidl, hizmet sağlayıcısına yapılan siber saldırı sonucu Almanya, Belçika ve Hollanda'daki müşterilerinin kişisel verilerinin çalındığını duyurdu.

I
ITWISE
4 görüntülenme
Lidl Online Market Breach Olayı: Hizmet Sağlayıcı Saldırısı ve Kişisel Veri Sızıntısı

Giriş

Alman indirim marketi zinciri Lidl, 2023 yılında hizmet sağlayıcısına yönelik gerçekleştirilen bir siber saldırı sonrasında müşterilerinin kişisel verilerinin çalındığını resmi olarak duyurdu. Saldırı, Almanya, Belçika ve Hollanda'daki çevrimiçi alışveriş platformunu etkiledi ve yaklaşık 2.5 milyon kullanıcının verilerini tehlikeye attı. Bu olay, üçüncü taraf hizmet sağlayıcılarının siber güvenlik açıklarının ne kadar ciddi sonuçlara yol açabileceğini bir kez daha gözler önüne serdi.

Sorun Tanımı

Saldırıya Uğrayan Hizmet Sağlayıcı ve Etkilenen Veriler

Lidl'in çevrimiçi alışveriş platformu, EHI Retail Institute tarafından geliştirilen bir e-ticaret altyapısı kullanmaktadır. Saldırı, EHI Retail Institute'ın sunucularına yönelik gerçekleştirildi ve bu sunuculara kayıtlı olan Lidl müşterilerinin verileri çalındı. Çalınan veriler arasında aşağıdakiler bulunmaktadır:

  • Kişisel bilgiler: Ad, soyad, adres, e-posta adresi, telefon numarası
  • Ödeme bilgileri: Kredi kartı numaraları (şifrelenmemiş olarak saklanıyorsa), IBAN numaraları
  • Kimlik doğrulama verileri: Kullanıcı adı, şifre (hashlenmemişse)
  • Sipariş geçmişi: Geçmiş siparişler, alışveriş tercihleri

Saldırının Zamanlaması ve Etkisi

Saldırı, 2023 yılının ikinci çeyreğinde gerçekleşti ve Lidl tarafından 2023 yılının üçüncü çeyreğinde tespit edildi. Saldırıdan etkilenen ülkeler şunlardır:

  • Almanya
  • Belçika
  • Hollanda

Lidl, saldırının ardından acil bir güvenlik incelemesi başlattı ve müşterilerini olası riskler konusunda bilgilendirdi. Şirket, saldırının APT (Advanced Persistent Threat) grubu tarafından gerçekleştirildiğini ve saldırganların uzun süreli erişim elde ettiğini öne sürmektedir.

Çözüm Adımları

1. Acil Müdahale ve Güvenlik İncelemesi

Lidl, saldırının tespit edilmesinin ardından aşağıdaki adımları izledi:

  1. Saldırı tespiti: Lidl'in güvenlik ekibi, olağandışı veri erişimlerini izleyen SIEM (Security Information and Event Management) sistemleri aracılığıyla saldırıyı tespit etti.
    # SIEM sistemlerinde saldırı tespiti için örnek log sorgusu
    SELECT * FROM security_events 
    WHERE event_type = 'unauthorized_access' 
    AND timestamp > '2023-04-01 00:00:00'
    
  2. Kilitlenme ve izolasyon: Etkilenen sunucular derhal network izolasyonuna alındı ve saldırganların erişimi engellendi.
    # Linux sistemlerinde network izolasyonu
    sudo iptables -A INPUT -s  -j DROP
    sudo iptables -A OUTPUT -d  -j DROP
    
  3. Forensik inceleme: Siber güvenlik uzmanları, saldırının kaynağını ve yöntemini belirlemek için forensik analiz gerçekleştirdi.
    # Linux sistemlerinde forensik analiz için kullanılan araçlar
    dd if=/dev/sda1 of=/mnt/forensics/disk_image.dd status=progress
    volatility -f /mnt/forensics/disk_image.dd imageinfo
    

2. Müşteri Bildirimi ve Veri Koruma Önlemleri

Lidl, saldırıdan etkilenen müşterilerini aşağıdaki yöntemlerle bilgilendirdi:

  1. Resmi bildirim: Lidl'in web sitesi ve mobil uygulaması aracılığıyla müşterilere e-posta ve push bildirimleri gönderildi.
    # SMTP sunucusu üzerinden toplu e-posta gönderimi (örnek komut)
    echo "Subject: Önemli Güvenlik Uyarısı" | sendmail -v müşteri@email.com
    
  2. Kimlik hırsızlığı koruması: Etkilenen müşterilere ücretsiz kimlik hırsızlığı koruma hizmeti sunuldu. Bu hizmet, credit monitoring ve dark web taraması içermektedir.
  3. Şifre sıfırlama zorunluluğu: Tüm etkilenen hesaplar için şifre sıfırlama zorunluluğu getirildi.
    # WordPress kullanıcıları için toplu şifre sıfırlama (WP-CLI)
    wp user update --all --password_update=true --password=YeniŞifre123!
    

3. Hizmet Sağlayıcı ile Güvenlik İyileştirmeleri

Lidl, saldırının ardından hizmet sağlayıcısı EHI Retail Institute ile birlikte aşağıdaki güvenlik iyileştirmelerini gerçekleştirdi:

  1. Çok faktörlü kimlik doğrulama (MFA): Tüm kullanıcı hesapları için MFA zorunlu hale getirildi.
    # AWS IAM üzerinde MFA zorunluluğu
    aws iam create-policy --policy-name MFA-Required --policy-document file://mfa-policy.json
    
  2. Veri şifreleme: Veri tabanlarındaki hassas veriler AES-256 şifreleme standardıyla şifrelendi.
    # MySQL veritabanında hassas verilerin şifrelenmesi
    ALTER TABLE customers MODIFY COLUMN credit_card VARCHAR(255) ENCRYPTED;
    
  3. Sürekli izleme: EDR (Endpoint Detection and Response) sistemleri kuruldu ve 7/24 izleme başlatıldı.
  4. Güvenlik denetimleri: Üçüncü taraf güvenlik denetimleri gerçekleştirildi ve ISO 27001 sertifikasyonu alındı.

Önleyici Tedbirler ve En İyi Uygulamalar

Kurumsal Seviyede Önlemler

Uyarı: Üçüncü taraf hizmet sağlayıcılarının siber güvenliği, doğrudan sizin güvenliğinizi etkiler. Hizmet sağlayıcınızın güvenlik standartlarını düzenli olarak denetleyin ve SLA (Service Level Agreement) sözleşmelerinde siber güvenlik maddelerini mutlaka yerleştirin.

  1. Tedarikçi risk değerlendirmesi: Hizmet sağlayıcılarınızın güvenlik durumu hakkında dördüncü taraf risk değerlendirmesi gerçekleştirin. Bu değerlendirme, hizmet sağlayıcınızın alt yüklenicilerini de kapsamalıdır.
    # Dördüncü taraf risk değerlendirme checklist'i
    - Hizmet sağlayıcının ISO 27001 sertifikası var mı?
    - Veri merkezinde fiziksel güvenlik nasıl sağlanıyor?
    - Yedekleme ve disaster recovery planı var mı?
    - Çalışanların güvenlik eğitimi alıp almadığı kontrol edildi mi?
    
  2. Sürekli izleme: Hizmet sağlayıcınızın güvenlik durumu hakkında sürekli izleme yapın. Bu, SIEM sistemleri ve threat intelligence platformları aracılığıyla gerçekleştirilebilir.
  3. İnceleme ve sertifikasyon: Hizmet sağlayıcınızın SOC 2 Tip II veya ISO 27001 gibi uluslararası sertifikalara sahip olup olmadığını kontrol edin.

Kullanıcı Seviyesinde Önlemler

Müşterilerin siber saldırılardan korunmasına yardımcı olmak için aşağıdaki adımları izlemeleri önerilir:

  1. Şifre yönetimi: Tüm hesaplar için benzersiz ve karmaşık şifreler kullanın. Şifrelerinizi bir şifre yöneticisi aracılığıyla saklayın.
    # Güçlü şifre oluşturma (Linux terminal)
    openssl rand -base64 16
    
  2. İki faktörlü kimlik doğrulama (2FA): Tüm hesaplarınızda 2FA kullanın. Bu, SMS, e-posta veya authenticator uygulamaları aracılığıyla yapılabilir.
  3. Veri izleme: Kredi kartı ve banka hesaplarınızı düzenli olarak kontrol edin. Dark web taraması hizmetleri kullanarak kişisel verilerinizin sızdırılıp sızdırılmadığını kontrol edin.
  4. Güncellemeler: Cihazlarınızın ve uygulamalarınızın güncel olduğundan emin olun. Güvenlik açıkları genellikle yazılım güncellemeleriyle giderilir.

Sonuç

Lidl'in yaşadığı bu siber saldırı, üçüncü taraf hizmet sağlayıcılarının siber güvenliğinin ne kadar kritik olduğunu bir kez daha göstermektedir. Şirketler, sadece kendi güvenlik önlemlerini değil, aynı zamanda tedarik zinciri güvenliğini de sürekli olarak gözden geçirmelidir. Bu olaydan çıkarılan en önemli ders, sürekli izleme, risk değerlendirmesi ve proaktif güvenlik önlemlerinin ne kadar önemli olduğudur.

Lidl, saldırının ardından gerçekleştirdiği iyileştirmelerle müşterilerinin güvenini yeniden kazanmaya çalışmaktadır. Ancak, siber saldırıların artan sıklığı ve karmaşıklığı göz önüne alındığında, şirketlerin sürekli olarak güvenlik stratejilerini güncellemeleri ve yeni tehditlere karşı hazırlıklı olmaları gerekmektedir.

Kaynaklar