Dijital Güvenlik

İranlı mesajlaşma uygulamasının verileri silindi

İranlı mesajlaşma uygulamasının verileri silindiİran’ın en popüler startup’larından biri olarak kabul edilen Raychat mesajlaşma uygulamasının milyonlarca kullanıcısının verilerini çaldırdığı ortaya çıktı.

Ülkede kurulan bir startup’ın maruz kaldığı siber saldırının sonucunda milyonlarca kullanıcının verileri çalındı ve imha edildi. Yaşanan aksaklık, saldırganların internette güvenli olmayan veri tabanları aradığı ve verilerini çalmak veya yok etmek için saldırı düzenlediği bir trendin parçası olarak görülüyor.

2017 yılında kurulan ve iş ve sosyal mesajlaşma uygulaması olarak adından söz ettirmeyi başaran Raychat, satış ve müşteri hizmetleri için uygulamayı kullanan işletmeler ve web siteleri ile ortaklıklar kurmaktaydı. Birkaç yıl önce İran’ın İpek Yolu Startup Zirvesi’nde ve ayrıca startup’ları sosyal katılımları ve diğer bazı ölçütlere göre değerlendiren bir web sitesi tarafından öne çıkarılan uygulama ülkenin en popüler startup’larından biri olarak kabul ediliyor.

Ancak yakın zamana kadar şirket, kullanıcı verilerini yanlış yapılandırılmış bir MongoDB veritabanında saklıyordu. MongoDB, uygulama şirketleri tarafından büyük hacimli kullanıcı verilerini işlemek için sıklıkla kullanılan bir tür depolama uygulaması olan bir NoSQL veri tabanı. Ancak, yanlış yapılandırıldığında NoSQL’ler milyonlarca belgeyi savunmasız bırakabiliyor. Buradaki durumda, kötü amaçlı bir oyuncu Raychat’ın sistemine girmeyi başardı ve şirketin veri tabanını yok edecek bir bot saldırısı düzenledi. Saldırı, güvenlik araştırmacısı Bob Diachenko tarafından ortaya çıkarıldı.

BİRÇOK NOSQL VERİTABANI SALDIRIYA AÇIK HEDEF

Diachenko, internete bağlı cihazları aramak için kullanılan Shodan gibi açık kaynaklı arama araçlarını kullanarak bir güvenlik açığıyla karşılaştığını söyledi. Diachenko, Twitter’da Mongo gibi bir çok NoSQL veri tabanının “interneti açık ve korumasız veritabanları için tarayan ve içeriklerini sadece bir fidye notu bırakarak silen kötü niyetli aktörler tarafından gerçekleştirilen bot saldırıları için hedef olduğunu” söyledi. Comparitec’in bir raporu, orijinali yok etmeden önce büyük veri hazinelerini kazımak ve indirmek için botnet’lerin nasıl kullanıldığını açıklıyor:

Hackerlar, sunucudaki verileri değiştiren ve/veya imha eden kötü niyetli talepleri kullanır. Birçok durumda, veriler saldırgan tarafından silinmeden önce indirilir. Saldırgan daha sonra verilerin güvenli bir şekilde geri alınması için fidye talep eden bir not bırakır.

Hindistan ordusundan yerli ve ‘güvenli’ mesajlaşma uygulaması

Diachenko, Raychat olayında 0.019 bitcoin (mevcut döviz kurlarında yaklaşık 919$) talep eden bir BENİ OKU fidye notunun ortaya çıktığını söylüyor. Uygulama verilerinin büyük bir kısmının yok edilmeden önce indirilmiş olmasının mümkün ancak düşük ihtimal olduğunu ve bu vakaların çoğunda, hackerların “kopyaladıklarını iddia ettiği tüm verileri saklamasının teknik olarak mümkün olmadığını” söylüyor.

Diachenko şirkete ulaşsa da başlangıçta cevap alamadığını belirtiyor. Araştırmacının bulgularını Twitter üzerinden paylaşmasının ardından, Raychat yaşanan veri ihlalini hemen kabul etti. Aynı zamanda bir bot saldırısının kurbanı olduğunu da açıkladı. Şirket, web sitesinde Diachenko’nun tweet’lerine atıfla bir açıklama yayımladı ve yaşanan ihlalden ötürü kullanıcılardan özür diledi. Açıklamada, “Şimdiye kadar bilgi sızıntısına dair bir kanıt yok.” ifadesine yer verildi. Saldırının ihlalin fark edilmesinden çok kısa bir süre sonra gerçekleştiği tahmin ediliyor.

PAROLALARI DEĞİŞTİRMEK GEREKİYOR

Kurucu ortak Ghader Sadeghi, Diachenko’nun ihlalin niteliğini değerlendirmede kendilerine yardımcı olduğunu doğruladı ve araştırmacının MongoDB yanlış yapılandırmasını belirleme konusunda kendilerine yardımcı olduğunu belirtti. Şirket, kullanıcı verilerinin yedeklendiğini ve kısa süre içinde geri yükleneceğini belirtirken, Sadeghi hukuk biriminin konuyu araştırdığını söyledi.

Şirket personelinin muhtemel kimlik avı girişimleri konusunda endişeli olduğu anlaşılıyor. 31 Ocak tarihinde atılan bir tweet’te şirket şu uyarıda bulundu: “Parolalarını değiştirmeleri için tüm Reichet [Raychat] kullanıcılarına bir e-posta gönderdik. Bu e-postada parolayı değiştirmek için bir bağlantı yok. Parola değiştirme bağlantısı içeren bir e-posta alırsanız, tıklamayın.” Aralık ayında atılan tweetlere göre de şirketin son zamanlarda farklı bir siber saldırıya daha maruz kaldığı anlaşılıyor.

2012 ile 2016 arasındaki dönemde görece olumlu gelişmeler kaydeden İran’ın startup ekosistemi şu anda ABD yaptırımları ve COVID-19 nedeniyle kırılgan bir durumda. Maruz kalınan siber saldırılar durumu startup’lar için daha zor hale getiriyor.

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu