Transport for London (TfL), Oyster kullanıcıları ve temassız ödeme hizmetleri için az sayıda yolcunun hesaplarına bu yılın başlarında kötü niyetli bir şekilde erişmelerinden sonra zorunlu bir şifre sıfırlama işlemi gerçekleştirmiştir.
İhlal, hizmetin yaklaşık 1.200 kullanıcısını etkiledi ve TfL’deki herhangi bir başarısızlık nedeniyle değil, etkilenen müşterilerin TfL hesap şifrelerini ihlal ettikleri diğer web sitelerinde yeniden kullandıkları için gerçekleştiği düşünülüyor. Olay sırasında hiçbir ödeme bilgisine erişilmedi.
Bu olayı takiben, sistemin tüm kullanıcılarına kimlik bilgilerini doldurma riskini azaltmak için, TfL, kullanıcı tarafından başlatılan bir sıfırlama bekleyen, 28 Kasım’da altı milyon kullanıcı hesabının her birini kilitledi.
TfL CTO Sashi Verma, “Müşterilerimizin verilerini korumak çok önemlidir ve müşterilerimizin kişisel hesaplarının güvende kalmasını sağlamalarına yardımcı olmak istiyoruz” dedi. “Bu devam eden çalışmanın bir parçası olarak, tüm Oyster ve temassız çevrimiçi hesap sahiplerinin bir sonraki oturum açtıklarında şifrelerini sıfırlamasını sağlamaya başladık.
“Bu, TfL olmayan web sitelerinden elde edilen veriler kullanılarak kötü amaçlı bir şekilde erişilen çok az sayıda hesabın daha önce bildirilmiş durumları nedeniyle alınan bir önlemdir. Bu, çevrimiçi hesaplarımızın güvenliğini artırmak için rutin bir adımdır. ”
Oyster kullanıcıları, tfl.gov.uk/reset-password adresini ziyaret ederek ve burada belirtilen adımları izleyerek TfL hesaplarına yeniden erişebilirler. Yeni şifreler en az sekiz karakter uzunluğunda olmalı ve bir rakam, büyük ve küçük harf ve özel karakter karışımı içermelidir. Parolalar da benzersiz olmalı ve hiçbir zaman diğer hizmetlerde tekrar kullanılmamalıdır.
Verma, yolcuların Oyster kartlarını hala normal şekilde artırabileceğini ve şifrelerini sıfırlamak zorunda kalmadan TfL servislerinde seyahat edebildiklerini söyledi.
TfL, ihlalin arkasında kim olduğunu araştırmaya yardım etmek için İngiliz Ulaştırma Polisi’ni görevlendirdi ve bir tutuklamanın yapıldığı anlaşıldı. Bilgi Komiseri Ofisine ayrıca bilgi verildi.
Greenwich Üniversitesi’ndeki siber güvenlik alanında doçent olan George Loukas, farklı çevrimiçi hizmetlerde parolaları tekrar kullanmaya cazip gelmesine rağmen, özellikle şu anda parola yöneticisi hizmetlerinin hazır olması nedeniyle uygulamadan kaçınılması gerektiğini söyledi.
Loukas, “En sevdiğiniz çevrimiçi mağazanızın, çevrimiçi oyun sitenizin veya çevrimiçi depolama sağlayıcınızın hacklendiğini duyduğunuzda, pratikte kamuya açık bilgi olarak kullandığınız kullanıcı adı ve parola eşleştirmesini düşünebilirsiniz” dedi.
“Siber suçlular, tehlikeye atılmış kimlik bilgilerinizi ele geçirdikten sonra, başka nerede kullandığınızı otomatik olarak kontrol eden ucuz bir yazılım kullanıyorlar. Daha sonra bunları genellikle sizi taklit etmekten faydalanacak diğer siber suçlulara satarlar. ”
Kaynak: