İşletmeler kimlik kullanıyoronaylamak için her gün kontrol edermüşterilerinin kim olduğu. Birçoğu bu işi halletmek için dış şirketlere güveniyor. Bu şirketlerden biri de artık Entrust'un bir parçası olan Onfido'dur. Artık Onfido'ya yetkisiz erişim raporları, şirketlerin hassas müşteri bilgilerini nasıl koruduğu konusunda yeni endişelere yol açtı.
Şu ana kadar yalnızca birkaç ayrıntı kamuoyuna açıklandı. Çevrimiçi raporlar, birinin kimlik kontrolleri sırasında müşterilerin yüklediği kimlik belgelerine ve yüz selfielerine erişmiş olabileceğini iddia ediyor. Raporlarda ayrıca Fransız fintech şirketi Spiko'nun, etkilenen bazı kullanıcıları olayın farkına varmasından yaklaşık on ay sonra bilgilendirdiği belirtiliyor.
Bu yazının yazıldığı sırada ne Entrust ne de Spiko, tam olarak ne olduğunu veya kaç kişinin etkilenmiş olabileceğini açıklayan ayrıntılı kamuya açık bilgi paylaşmadı. Sonuç olarak birçok soru cevapsız kalıyor. Yine de siber güvenlik ve gizlilik uzmanları, bu davanın tek bir şirketin ötesine geçen çok daha büyük bir sorunu vurguladığını söylüyor.
Şirketler insanların en hassas bilgilerinden bazılarını saklıyor
Kimlik doğrulama sağlayıcıları günümüzün çevrimiçi dünyasında önemli bir rol oynamaktadır. Bankalar, kripto para borsaları, fintech firmaları, çevrimiçi mağazalar ve diğer birçok işletme, müşteri kimliklerini doğrulamak için bu şirketleri kullanıyor. Bu kontrolleri tamamlamak için müşteriler genellikle pasaport, ulusal kimlik kartları, sürücü ehliyetleri, adres kanıt belgeleri ve yüz selfieleri yükler.
Bu, bu sağlayıcıların son derece hassas kişisel bilgilerden oluşan devasa koleksiyonlara sahip olduğu anlamına gelir. Bu aynı zamanda onları siber suçlular için çekici hedefler haline getiriyor. Parolaların aksine, insanlar açığa çıktıktan sonra yüzlerini veya devlet tarafından verilen birçok kimlik belgesini kolayca değiştiremezler. Çalınan bir pasaport resmi veya yüz doğrulama selfiesi, suçluların işine uzun yıllar boyunca yarayabilir.
Gizlilik uzmanlarının kimlik verilerinin korunması konusunda uyarmaya devam etmesinin bir nedeni de budur. Bildirilen olay, Entrust'un bu yılın başlarında kimlik doğrulama şirketini satın almasının ardından Onfido'yu işine eklemeye devam ettiği dönemde gerçekleşti.
Entrust, Onfido teknolojisini kendi ürünleriyle birleştirerek kimlik güvenliği hizmetlerini genişletti. Müfettişler bildirilen olayla ilgili pek fazla ayrıntıyı doğrulamamış olsa da vaka, kimlik doğrulama sağlayıcılarının müşteri kayıtlarını nasıl koruduğuna ilişkin kamuoyundaki tartışmayı yeniden alevlendirdi.
Gizlilik uzmanları merkezi KYC sistemleri hakkında uyarmaya devam ediyor
Bildirilen olay, daha fazla işletmenin ve hükümetin dijital kimlik kontrollerini genişletmesiyle birlikte ortaya çıktı. Birçok finansal hizmet, çevrimiçi platform ve yaş doğrulama sistemi artık müşterilerin doğrulanması için üçüncü taraf sağlayıcılara güveniyor. Gizlilik savunucuları yıllardır bu yaklaşımla ilgili endişelerini dile getiriyorlar.
Milyonlarca kimlik kaydının az sayıda şirkete yerleştirilmesinin saldırganlar için değerli hedefler oluşturduğunu söylüyorlar. Şirketler güçlü güvenlik önlemleri uygulasa bile, bu kadar çok bilginin tek bir yerde saklanması, bir olay meydana gelmesi durumunda olası etkiyi artırır.
Dijital gizlilik konusundaki tartışma küreseldir.Çin internet erişimi üzerindeki kontrolleri sıkılaştırıyorYetkisiz VPN kullanımına yönelik bir baskı da dahil.
Tek bir güvenlik olayı birçok kişiye ait bilgilerin aynı anda açığa çıkmasına neden olabilir. Entrust, büyüyen bu sorunu 2026 Kimlik Sahtekarlığı Raporunda da ele aldı.
Entrust'a göre kimlik saldırıları her yıl daha da ileri düzeyde olmaya devam ediyor. Şirket, suçluların artık daha fazla AI tarafından oluşturulan derin sahtekarlıklar, biyometrik dolandırıcılık girişimleri ve diğer kimlik tabanlı saldırıları kullandığını söyledi. Entrust, kuruluşların yalnızca tek bir kimlik kontrolüne güvenmemesi gerektiğine inanıyor. Bunun yerine şirket, işletmelerin tüm ilişki boyunca müşteri kimliklerini koruması gerektiğini söylüyor.
Bildirilen Onfido olayı aynı zamanda kimlik doğrulama endüstrisindeki daha geniş bir eğilimi de yansıtıyor. Son yıllarda birçok sağlayıcı güvenlik olaylarını veya verilerin açığa çıkması durumlarını açıkladı.
Bu etkinlikler, KYC sağlayıcılarının müşteri bilgilerini nasıl topladığı, sakladığı ve koruduğu konusunun daha yakından incelenmesine yol açtı. Araştırmacılar ayrıca kimlik doğrulama şirketlerinin dijital dünyadaki en hassas bilgilerden bazılarını yönettiği konusunda uyarmaya devam ediyor.
Bu sağlayıcıların çoğu, devlet tarafından verilen kimlik belgelerini biyometrik bilgilerle birlikte saklıyor; bu da, saldırganların erişim sağlaması durumunda veritabanlarını özellikle değerli kılıyor.
Birçok soru hâlâ cevapsız kalıyor
Bildirilen Onfido olayıyla ilgili pek çok gerçek bilinmiyor. Yetkililer etkilenen kullanıcıların toplam sayısını doğrulamadı. Ayrıca birisinin hangi bilgilere erişmiş olabileceğini tam olarak doğrulamadılar. Daha fazla ayrıntı kamuya açıklanana kadar, dışarıdan kimlik doğrulama sağlayıcılarına bağımlı olan işletmeler muhtemelen müşterilerden daha fazla soruyla karşılaşacak.
İnsanlar şirketlerin kimlik kayıtlarını ne kadar süreyle sakladığını bilmek isteyebilir. Ayrıca işletmelerin bir güvenlik olayını keşfettikten sonra ne kadar hızlı yanıt verdiklerini de sorabilirler. Bir diğer önemli soru da şirketlerin etkilenen kullanıcılarla bilgileri ne kadar açık bir şekilde paylaştığıdır. Bildirilen olay aynı zamanda büyük miktarda KYC verisinin dış sağlayıcılarda tutulmasının riskleri hakkındaki tartışmayı da yeniden alevlendirdi.
Hükümetler ve özel şirketler dijital kimlik gerekliliklerini genişletmeye devam ettikçe bu bilgilerin korunması daha da önemli hale geliyor. Bir kişinin kimliğini kontrol etmek işin yalnızca bir kısmıdır.
Şirketlerin ayrıca pasaportları, kimlik kartlarını, yüz selfielerini ve diğer kişisel kayıtları topladıktan sonra koruma altına alması gerekiyor. Bildirilen Onfido olayı şimdilik inceleme altında ve birçok önemli ayrıntı henüz doğrulanmadı.
Daha fazla bilgi elde edilene kadar dava, işletmelere kimlik verilerinin toplanmasının aynı zamanda bu verileri güvende tutma sorumluluğunu da beraberinde getirdiğini hatırlatmaya devam edecek.
