SoftBank Corporation, Aralık 2024’te üçüncü taraf hizmet sağlayıcısı UF Japan’da meydana gelen kritik bir güvenlik açığı sonucunda 137.156 mobil abonenin kişisel bilgilerinin açığa çıktığını duyurdu. Bu bilgiler arasında müşteri isimleri, ikamet adresleri ve telefon numaraları yer alırken, kredi kartı ve banka hesap bilgileri gibi daha hassas finansal veriler güvenli sistemlerde tutulduğu için etkilenmedi. İhlal, yaklaşık üç ay boyunca fark edilmedi; bu gecikme, dış kaynaklı altyapıda gerçek zamanlı izleme ve saldırı tespit mekanizmalarının yetersizliğini gözler önüne serdi. Yapılan incelemeler, UF Japan tesislerinde fiziksel erişim kontrollerinin eksik olduğunu, giriş-çıkış kayıt sistemlerinin bozuk olduğunu ve yüksek güvenlikli alanlarda biyometrik kimlik doğrulamasının uygulanmadığını ortaya koydu. Bu zayıflıklardan faydalanan eski bir tedarikçi çalışanı, yetkisiz şekilde hassas verilerin bulunduğu alanlara erişim sağladı. Ayrıca, kişisel verilere aşırı ve uygunsuz erişim izinleri verilmiş olması, yetkisiz kişilerin müşteri verilerini otomatik uyarı sistemlerine takılmadan dışarı aktarmasına olanak tanıdı. SoftBank, olayın ardından UF Japan ile olan sözleşmesini feshetti ve konuyla ilgili olarak kolluk kuvvetleriyle iş birliği başlattı.
Şirket, benzer olayların tekrarını önlemek amacıyla üçüncü taraf hizmet sağlayıcılarına yönelik zorunlu sızma testleri, uyumluluk denetimleri ve sürekli güvenlik izleme gibi kapsamlı güvenlik önlemleri uygulamayı taahhüt etti. Bu adımlar, Japonya’nın Kişisel Bilgi Koruma Yasası (PIPA) ve uluslararası veri koruma standartlarıyla uyumludur. Olay, Japonya’nın telekomünikasyon güvenlik çerçevesi kapsamında önemli düzenleyici soruşturmalara neden olabilir ve SoftBank, güvenlik iyileştirme emirleri ile artırılmış raporlama yükümlülükleri gibi idari yaptırımlarla karşı karşıya kalabilir. Şirketin açıklamasında, tedarikçi yönetimi süreçlerinin güçlendirilmesi, düzenli güvenlik açıkları değerlendirmeleri ve gerçek zamanlı izleme entegrasyonlarının artırılması gibi önlemlere vurgu yapılarak, dış kaynaklı operasyon ekosisteminde benzer ihlallerin önüne geçilmesi hedeflendiği belirtildi.
Kaynak:https://cybersecuritynews.com/softbank-databreach/
