Swarmshop’a yönelik saldırı, 600 binden fazla ödeme kartı numarasının ve yaklaşık 70 bin ABD Sosyal Güvenlik numarasının ve Kanada Sosyal Sigorta numarasının açığa çıkmasına neden oldu. Bu durum aynı zamanda hackerların hacklenmesi anlamına geliyor.
Saldırı ile ilgili ayrıntılar henüz netleşmedi. Güvenlik uzmanları sızıntıda 12 bin 344 kaydın açığa çıktığını açıkladı. Kayıtlar arasında takma isimler, karıştırılmış şifreler, iletişim bilgileri, site yöneticilerinin, satıcıların ve alıcıların etkinlik geçmişi yer alıyor.
SWARMSHOP SONRASI CARDING MAFIA DA HACKLENDİ
Siber güvenlik şirketi Group-IB bünyesinde çalışan araştırmacılar, sızıntının 17 Mart’ta, Carding Mafia’nın 300 bine yakın üyesinin e-posta adreslerinin açığa çıktığı ihlalden bir gün önce meydana geldiğini keşfetti.
Group-IB’ye göre, Swarmshop sızıntısı ABD, Kanada, İngiltere, Çin, Singapur, Fransa, Brezilya, Suudi Arabistan ve Meksika’daki bankaların verdiği 623 bin 36 kartın ayrıntılarını içeriyor. Araştırmacılar ayrıca online bankacılık hesaplarındaki 498 kimlik bilgisi ve 69 bin 592 takım ABD Sosyal Güvenlik numarası ve Kanada sosyal sigorta numarası tespit ettiler.
Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
Swarmshop’a sızan kişi saldırı hakkında bilgi vermezken sadece veri tabanına link içeren bir mesaj bıraktı. Başlangıçta, kart mağazası yöneticileri, verilerin bir hackerın forumun kullanıcı veri tabanını satmaya çalıştığı Ocak 2020’deki eski bir ihlalden kaynaklandığını iddia etti. O dönemde site sahipleri üyelerden parolalarını değiştirmelerini talep etmişti.
ÖDEME VE İLETİŞİM BİLGİLERİ ÇALINDI
Son saldırıyı analiz eden Group-IB, en yakın zamanlı kullanıcı etkinliği bilgisine dayanarak saldırının yeni olduğunu tespit etti.
Toplamda, veri tabanı, 4 kart mağazası yöneticisinin, 90 satıcının ve 12 bin 250 çalıntı bilgi alıcısının verilerini içeriyordu. Bu veriler arasında takma adlar, karma şifreler, hesap bakiyeleri ve bazı iletişim bilgileri bulunuyordu.
Swarmshop, Nisan 2019’dan beri faaliyet gösteren nispeten yeni bir carding forumu (çalıntı kredi kartı bilgilerinin yer aldığı yasa dışı bir web sitesi) Açıldığı günden Mart 2021’e kadar olan süreçte, 12 binden fazla kullanıcıyı bünyesine dahil etti ve satıştaki 600 binden fazla ödeme kartından veri aldı.
Swarmshop mart ayında saldırıya uğrayan üçüncü forum oldu. Ayın başında, BleepingComputer, en eski Rusça hacker forumlarından biri olan Maza’nın (veya Mazafuka’nın) saldırıya uğradığını ve üyelerinin verilerinin sızdırıldığını bildirmişti. Aynı alanda faaliyet gösteren diğer topluluklar da benzer kadere sahip. Maza hakkında ihbarda bulunan kişi, Verified, Dread ve Club2crd’ye yapılan saldırılarla ilgili mesajların ekran görüntülerini de paylaşmıştı.
15 Şubat’ta, forum yöneticileri, sitenin kontrolünü bir güvenlik açığından yararlanan “bilinmeyen operatörler”e kaptırdı. Bir gün sonra, Club2crd’nin süper moderatörü, hesaplarının forum üyelerini aldatmak ve paralarını çalmak için gasp edildiğini açıkladı. Aynı ay, Dread birden fazla saldırının hedefi oldu ve yönetici daha fazla sorun yaşanmasının önüne geçmek adına yeni güvenlik önlemleri aldı.
Grup-IB CTO’su Dmitry Volkov, kart mağazası ihlallerinin sık yaşanmadığını belirtiyor. Uzmanlar, Swarmshop olayının, tüm satıcıların mallarını ve kişisel verilerini kaybetmesine neden olan bir intikam hackinin, hedefi olduğunu düşünüyor.
