Nottingham Üniversitesi Veri İhlali: 450.000'den Fazla Öğrenci ve Mezunun Verileri Etkilendi

Giriş

Nottingham Üniversitesi, 2023 yılının ortalarında gerçekleşen bir siber saldırının ardından, öğrenci kayıt sistemine yetkisiz erişim olduğunu doğruladı. Saldırı, hem halen öğrenim gören öğrencileri hem de mezunları etkiledi. 450.000'den fazla bireyin kişisel verilerinin ele geçirildiği bildirildi. Bu makale, olayın teknik detaylarını, etkilenen sistemleri, saldırının olası nedenlerini ve kurumların benzer saldırılara karşı alması gereken koruma adımlarını kapsamlı bir şekilde ele almaktadır.

Saldırı Detayları

Etkilenen Sistemler ve Veriler

Saldırı sırasında aşağıdaki sistemler ve veriler hedef alındı:

• Öğrenci Kayıt Sistemi (SRS): Kişisel bilgiler (ad, soyad, doğum tarihi, adres), akademik kayıtlar, notlar ve ders bilgileri.
• Mezun Veri Tabanı: Mezunların iletişim bilgileri, mezuniyet tarihleri ve bazı durumlarda mezuniyet sonrası faaliyetleri.
• Finansal Sistemler: Öğrenim ücretleri, burs kayıtları ve ödeme geçmişleri.

Saldırı Yöntemi ve Kökeni

Nottingham Üniversitesi, saldırının bir hacking grubu tarafından gerçekleştirildiğini doğruladı. Araştırmalar, grubun SQL enjeksiyonu ve zayıf kimlik doğrulama mekanizmalarını kullandığını göstermektedir. Saldırganlar, sisteme ilk erişimi eski bir web uygulaması üzerindeki güvenlik açığı aracılığıyla elde etmiş olabilir. Bu uygulama, yeterli güvenlik yamaları uygulanmadan kullanımda kalmıştı.

Uyarı: SQL enjeksiyonu, saldırganların veri tabanına yetkisiz SQL sorguları göndererek hassas verileri çalmasına olanak tanır. Bu tür saldırılardan korunmak için girdilerin doğrulanması ve hazır ifadelerin (prepared statements) kullanılması şarttır.

Zaman Çizelgesi ve Kurumun Tepkisi

Olayın keşfedilmesi ve müdahale süreci aşağıdaki şekilde gerçekleşti:

1. 2023 Yılının Haziran Ayı: Saldırının gerçekleştiği ve verilerin sızdırıldığı tarih.
2. 2023 Yılının Temmuz Ayı: Nottingham Üniversitesi, siber güvenlik firmalarıyla iş birliği yaparak saldırının boyutunu değerlendirdi.
3. 2023 Yılının Ağustos Ayı: Kurum, etkilenen bireyleri ve yetkili makamları (örneğin, İngiltere Veri Koruma Kurumu - ICO) bilgilendirdi.
4. 2023 Yılının Eylül Ayı: Üniversite, saldırının tekrarlanmaması için sistemlerinde köklü değişiklikler yaptı ve siber güvenlik politikalarını güncelledi.

Olayın Etkileri ve Yasal Sonuçlar

Kurumsal ve Bireysel Etkiler

Bu saldırının hem kurum hem de bireyler üzerinde ciddi sonuçları oldu:

• Kurumsal:
  • Üniversitenin itibarı ciddi şekilde zedelendi.
  • Siber güvenlik sigortası primlerinde artış yaşandı.
  • Yasal yaptırımlar ve para cezalarıyla karşı karşıya kalındı (örneğin, GDPR kapsamında).
• Bireysel:
  • Etkilenen bireyler, kimlik hırsızlığı ve dolandırıcılık riskiyle karşı karşıya kaldı.
  • Kişisel verilerin kötüye kullanılması nedeniyle stres ve güven kaybı yaşandı.

Yasal ve Düzenleyici Yükümlülükler

Nottingham Üniversitesi, İngiltere'nin Genel Veri Koruma Yönetmeliği (GDPR) kapsamında sorumluluklarını yerine getirmek zorundaydı. Bu kapsamda:

• Etkilenen bireylere 72 saat içinde bildirimde bulunuldu.
• ICO'ya detaylı bir rapor sunuldu.
• Veri koruma politikaları gözden geçirildi ve iyileştirildi.

İpucu: GDPR kapsamında, veri ihlallerinin 72 saat içinde yetkili makamlara bildirilmesi zorunludur. Bu süre, ihlalin tespit edildiği andan itibaren başlar. Kurumlar, ihlallerin boyutunu ve etkilerini hızlıca değerlendirebilecek olay yanıt planlarına (IRP) sahip olmalıdır.

Saldırıdan Korunma: Adım Adım Önlemler

1. Sistem Güvenliğinin Sağlanması

Kurumlar, benzer saldırılardan korunmak için aşağıdaki adımları izlemelidir:

1. Güvenlik Yamalarının Uygulanması:

   Tüm yazılımların ve sistemlerin en son güvenlik yamalarıyla güncel tutulması gerekmektedir. Özellikle web uygulamaları ve veri tabanları için:

   # Linux sistemlerinde yamaların kontrolü ve uygulanması
   sudo apt update && sudo apt upgrade -y
   
   # Windows sistemlerinde Windows Update aracılığıyla yamaların uygulanması
   # (Windows Update Settings → Check for updates)
   

2. Güvenlik Duvarı ve Ağ İzolasyonu:

   Ağ trafiğinin izlenmesi ve gereksiz bağlantıların engellenmesi:

   # Linux'ta UFW (Uncomplicated Firewall) kullanarak portların kısıtlanması
   sudo ufw allow 22/tcp   # SSH erişimi için
   sudo ufw allow 80/tcp   # HTTP erişimi için
   sudo ufw allow 443/tcp  # HTTPS erişimi için
   sudo ufw enable
   

   Not: Sadece gerekli portlar açık bırakılmalı ve diğer tüm portlar varsayılan olarak kapatılmalıdır.

3. Veri Tabanı Güvenliği:

   Veri tabanlarına erişimin kısıtlanması ve SQL enjeksiyon saldırılarına karşı koruma:

   -- MySQL/MariaDB'de kullanıcıların sadece gerekli izinlere sahip olması
   CREATE USER 'read_only_user'@'localhost' IDENTIFIED BY 'secure_password';
   GRANT SELECT ON university_db.* TO 'read_only_user'@'localhost';
   FLUSH PRIVILEGES;
   
   -- SQL enjeksiyonuna karşı hazır ifadelerin kullanılması (örnek: Python + MySQL)
   import mysql.connector
   
   conn = mysql.connector.connect(
       host="localhost",
       user="read_only_user",
       password="secure_password",
       database="university_db"
   )
   cursor = conn.cursor(prepared=True)
   
   # Kullanıcı girdisi yerine hazır ifade kullanımı
   query = "SELECT * FROM students WHERE student_id = %s"
   cursor.execute(query, (student_id,))
   

2. Kimlik Doğrulama ve Erişim Kontrolleri

1. Çok Faktörlü Kimlik Doğrulama (MFA):

   Tüm kritik sistemlere erişimde MFA kullanılması zorunlu hale getirilmelidir. Bu, saldırganların sadece şifreleri ele geçirerek sistemlere erişmesini engeller:

   # Google Authenticator kullanarak MFA uygulanması (Linux)
   sudo apt install libpam-google-authenticator
   google-authenticator
   
   # /etc/pam.d/sshd dosyasına aşağıdaki satır eklenir:
   auth required pam_google_authenticator.so
   

2. En Az Ayrıcalık İlkesi (Least Privilege Principle):

   Kullanıcılara sadece gerekli olan izinler verilmelidir. Örneğin, bir öğrenci kayıt sistemi kullanıcısına sadece kayıtları görüntüleme izni verilmeli, verileri değiştirme izni verilmemelidir:

   -- PostgreSQL'de kullanıcı izinlerinin ayarlanması
   CREATE ROLE student_viewer WITH LOGIN PASSWORD 'secure_password';
   GRANT SELECT ON ALL TABLES IN SCHEMA public TO student_viewer;
   REVOKE ALL ON ALL TABLES IN SCHEMA public FROM student_viewer;
   

3. İzleme ve Olay Tepkisi

1. Günlüklerin (Logs) İzlenmesi:

   Sistem ve ağ günlüklerinin sürekli izlenmesi, şüpheli aktivitelerin erken tespit edilmesini sağlar:

   # Linux'ta syslog'un yapılandırılması (/etc/rsyslog.conf)
   *.* @192.168.1.100:514  # Tüm logların merkezi bir sunucuya gönderilmesi
   
   # Windows'ta Event Viewer kullanarak logların izlenmesi
   # (Event Viewer → Windows Logs → Security)
   

2. Siber Güvenlik Olaylarına Hazırlık:

   Bir olay yanıt planı (IRP) oluşturulmalı ve düzenli olarak test edilmelidir. Bu plan, aşağıdaki adımları içermelidir:

   1. Olayın tespit edilmesi ve izole edilmesi.
   2. Yetkili makamların ve etkilenen bireylerin bilgilendirilmesi.
   3. Sistemlerin kurtarılması ve yeniden yapılandırılması.
   4. Daha fazla saldırının önlenmesi için iyileştirmelerin yapılması.

   IRP'nin bir parçası olarak, penetrasyon testi ve kırmızı takım (red team) egzersizleri düzenlenmelidir:

   # Kali Linux kullanarak basit bir penetrasyon testi
   # (Not: Yalnızca yasal ve izinli sistemlerde yapılmalıdır)
   sudo apt install metasploit-framework
   msfconsole
   use exploit/multi/http/struts2_rest_xstream
   set RHOSTS target_ip
   set RPORT 8080
   exploit
   

Kurumların Alması Gereken Ek Önlemler

Eğitim ve Farkındalık

Çalışanların ve öğrencilerin siber güvenlik konusunda eğitilmesi, insan hatasından kaynaklanan saldırıların önlenmesinde kritik rol oynar. Nottingham Üniversitesi örneğinde, saldırının eski bir web uygulaması üzerindeki güvenlik açığından kaynaklandığı düşünüldüğünde, personelin güvenlik güncellemeleri konusunda bilinçlendirilmesi önemlidir. Kurumlar, aşağıdaki eğitimleri sağlamalıdır:

• Phishing saldırılarına karşı farkındalık eğitimi.
• Güvenli parola yönetimi ve MFA kullanımı.
• Veri koruma ve gizlilik ilkeleri.

Üçüncü Taraf Denetimleri

Kurumlar, harici hizmet sağlayıcılarının (örneğin, bulut sağlayıcıları, üçüncü parti yazılımlar) güvenlik standartlarına uygunluğunu düzenli olarak denetlemelidir. Bu denetimler, aşağıdaki unsurları içermelidir:

• SOC 2 (Service Organization Control 2) veya ISO 27001 sertifikaları.
• Güvenlik açıklarının taranması ve raporlanması.
• Veri koruma sözleşmelerinin (Data Processing Agreements) incelenmesi.

Sonuç

Nottingham Üniversitesi'nde yaşanan veri ihlali, siber güvenlik alanında karşılaşılan yaygın tehditlerin ne kadar ciddi olduğunu bir kez daha gözler önüne serdi. Bu tür olayların önlenmesi için çok katmanlı bir güvenlik yaklaşımı benimsenmesi gerekmektedir. Kurumlar, yalnızca teknolojik çözümlerle değil, aynı zamanda çalışan eğitimi, düzenli denetimler ve hızlı müdahale planları ile güvenliklerini güçlendirmelidir. Gelecekte benzer saldırıların önlenmesi için, sıfır güven mimarisi (Zero Trust Architecture) gibi modern güvenlik yaklaşımlarının benimsenmesi önerilmektedir.

Kaynaklar:

• BleepingComputer: Nottingham University Data Breach
• ICO (Information Commissioner's Office)
• GDPR Resmi Metni