ABD’li Telekom Devi AT&T, 70 milyondan fazla müşterisinin verilerinin açığa çıkmasına sebep olan bir bilgi güvenliği olayıyla karşı karşıya kaldı.
Siber tehdit aktörleri söz konusu veri tabanını Dark Web üzerinden yayımladı.
Veri tabanında isim, fatura adresleri, e-mail, telefon numarası, doğum tarihi ve hesap numarası gibi hassas kişisel veriler yer alıyor. Şirket yetkilileri çalınan bilgiler arasında herhangi bir kredi kartı ödeme bilgisi, parola, banka hesap bilgisi, kimlik numarası ve sosyal sigorta numarası gibi bilgilerin yer almadığını vurguladı.
Verilerin 2019 ve öncesine ait bilgiler olduğu vurgulanırken, mevcut 7,6 milyon müşteri ile 65,4 milyon kişinin veri sızıntısından etkilendiği belirtildi. Firmadan yapılan açıklamada sızıntının sistemlerine yönelik yetkisiz bir giriş kaynaklı olduğuna dair kanıt bulunmadığı ifade edildi.
Telekom devi geçtiğimiz ay ise büyük bir arıza meydana gelmiş, kullanıcılara yönelik hizmetlerde bir süre kesintiler oluşmuştu. Firma, kesintinin ağ genişlemesi sırasındaki uygulama ve işlem hatalarından kaynaklandığını duyurmuştu.
“Tüm İhlallerin Anası” Mother of All Breaches olarak adlandırılan devasa veri sızıntısında Twitter, Linkedin ve Dropbox gibi sitelerden 26 milyar kullanıcı verisi sızdırıldı.
Sızıntının ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerdeki çeşitli hükûmet kuruluşlarının kayıtlarını da içerdiği belirtiliyor.
26 MİLYARDAN FAZLA KULLANICI VERİSİ SIZDI
Siber güvenlik araştırmacıları, kişisel bilgilerinizin sızdırılmış olabileceği uyarısında bulundu. Araştırmacıların tarihin en büyük veri sızıntısı olduğuna inandıkları olayda 26 milyardan fazla kişisel kayıt açığa çıktı.
Aralarında Twitter, Dropbox ve LinkedIn’in de bulunduğu çeşitli sitelere ait hassas bilgiler güvenli olmayan bir sayfada keşfedildi.
Araştırmacılar, söz konusu ihlalin son derece tehlikeli olduğunu ve bir siber suç tsunamisine yol açabileceğini iddia ediyor.
SIZINTI AÇIK BİR DEPOLAMA ALANINDA KEŞFEDİLDİ
SecurityDiscovery.com’un sahibi Bob Dyachenko ve Cybernews’ten araştırmacılar veri ihlalini güvenli olmayan açık bir depolama alanında keşfetti.
12 terabaytlık kullanıcı verisi içeren sızıntı, araştırmacılar tarafından Tüm İhlallerin Anası (Mother of All Breaches) olarak adlandırıldı.
Veriler üzerinde yapılan ilk incelemelerde, verilerin yeni bir ihlalden kaynaklanmadığı, daha önceki ihlallerin bir araya getirilmesiyle oluştuğu vurgulandı.
Bununla birlikte söz konusu sızıntıda kimlik bilgilerinden hassas bilgilere kadar pek çok veri yer alırken ayrıca ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerden çeşitli devlet kuruluşlarının kayıtları da yer aldı.
EN BÜYÜK SIZINTI ÇİN’DEN
En büyük sızıntı, Çin’in popüler mesajlaşma uygulaması olan Tencent’in QQ’suna ait 1,5 milyar kullanıcı verisi oldu.
QQ’yu, 504 milyon kayda sahip olan Çin sosyal medya platformu Weibo takip etti.
Diğer en büyük sızıntılardan bazıları arasında MySpace (360 milyon), Twitter (281 milyon), Linkedin (251 milyon) ve AdultFriendFinder (220 milyon) yer alıyor.
DEVASA BİR SİBER SUÇ TSUNAMİSİNE YOL AÇABİLİR
Araştırmacılara göre en büyük endişe, bu kayıtların devasa bir siber suç dalgasına temel oluşturabilecek olması.
ESET’in küresel siber güvenlik danışmanı Jake Moore söz konusu sızıntı hakkında “Bu kesinlikle çok büyük bir veri ihlali.” yorumunda bulundu.
Moore, “Siber suçluların asgari bilgilerle bile yapabilecekleri asla hafife alınamaz, ancak şifreler ele geçirildiyse mağdurların sonuçların farkında olması ve uygun güvenlik güncellemelerini yapması gerekir.” uyarısını yaptı.
Araştırmacılar, “Kullanıcılar Netflix hesapları için de Gmail hesapları için kullandıkları şifreleri kullanırlarsa, saldırganlar bunu kullanarak daha hassas diğer hesaplara yönelebilirler” uyarısında bulunuyor.
Çeşitli güvenlik uzmanlarıysa “bankanız ve Twitter için aynı cep telefonu numarasını kullanıyorsanız, bilgisayar korsanları bu ihlali bankacılık bilgilerinize ulaşmak için kullanabilir” uyarısında bulunuyor.
SPAM E-MAİLLERE DİKKAT!
Tüm İhlallerin Anası’nda verileri sızmış olan kullanıcılar, kimlik avı saldırılarının kurbanı olabilir ya da yüksek düzeyde spam e-postalar alabilir.
Söz ihlalde kişisel verilerinizin sızdırıldığından endişe ediyorsanız, yapmanız gereken en önemli şey parolalarınızı güncellemek. Birden fazla hesap için aynı şifreleri kullanmadığınızdan emin olmak, bir hesabın etkilenmesinin tüm verilerinizi tehlikeye atma riskini azaltıyor.
Bunun yanı sıra kimlik avı e-postalarına karşı dikkatli olmalı ve tüm hesaplarınızda iki faktörlü kimlik doğrulama kullandığınızdan emin olmalısınız.
Bangladeş’teki Ulusal Telekomünikasyon İzleme Merkezi, veri tabanlarını yanlışlıkla sızdırdı.
Sızdırılan veri tabanları pasaport detaylarından parmak izi fotoğraflarına kadar uzanırken, araştırmacılar tutulan verilerin istihbarat teşkilatı tarafından tutulan bir veri tabanına bağlı olduğunu belirtti.
SIZDIRILAN VERİLER İSTİHBARAT BİLGİLERİ
Bangladeş’te cep telefonu ve internet faaliyetlerini toplayan bir istihbarat kurumu olan Ulusal Telekomünikasyon İzleme Merkezi’nin (NTMC), sistemlerine bağlı güvenli olmayan bir veri tabanı aracılığıyla yurttaşların kişisel bilgilerini aylardır sitelerinde yayınladığı fark edilmişti.
Geçtiğimiz hafta ise kimliği belirsiz bilgisayar korsanları bu veri tabanına saldırarak verileri çaldığını iddia etmişti. Söz konusu veriler için fidye talep eden tehdit aktörleri ödeme yapılmazsa verileri yayımlayacaklarını belirtmişti.
Sızan veriler arasında isim, kimlik numarası, cinsiyet, ebeveyn ismi, kan grubu, telefon numarası, doğum kaydı, meslek, çağrı kaydı ve süresi, araç kaydı, pasaport detayı, parmak izi fotoğrafı, sınav bilgisi, e-posta adresi, ev adresi, IMEI kaydı, SMS bilgisi, Twitter bilgisi, finans bilgisi gibi kişisel tanımlanabilir bilgiler yer alıyor.
Kasıtlı olarak yapılmayan bu ifşa, NTMC’nin gizli dünyasına ve yurttaşlar arası iletişimin nasıl ele geçirilebileceğine dair geniş bir bakış açısı sunuyor.
TEHLİKELİ BİLGİLER YER ALIYOR
Toplanan bilgilerin tam niteliği ve amacı belirsiz olsa da veri tabanını inceleyen güvenlik danışmanı ve Security Discovery’nin kurucularından Jeremiah Fowler, “Böyle bir şeyi ilk kez görüyorum.” açıklamasını yaptı.
Güvenli olmayan veri tabanını geçtiğimiz aylarda güvenlik araştırmacısı Viktor Markopoulos keşfetmişti.
Veri tabanının muhtemelen bir yanlış yapılandırma nedeniyle açığa çıktığını söyleyen Markopoulos, veri tabanında, her birinde farklı günlüklerin saklandığı 120’den fazla veri dizini bulunduğunu, dizinler arasında “uydu telefonu”, “sms”, “doğum kaydı”, “ehliyet” ve “Twitter” gibi isimler yer aldığını, bu dosyalardan bazılarının çok az giriş içerirken, bazısının da on binlerce giriş içerdiğini belirtmişti.
NTMC veri tabanında ifşa edilen verilerin büyük çoğunluğunu meta veriler oluşturduğunu söyleyen araştırmacılar, her ne kadar meta veri olsalar da bu tarz verilerin insanların davranışlarındaki kalıpları ve kimlerle etkileşime girdiklerini göstermek için geniş çapta kullanılabileceğini ifade ediyorlar.
İstihbarat birimiyle bağlantılı veriler hakkında Fowler, “Gördüğüm en tehlikeli şey bir grup IMEI numarasıydı. Bunlarla cihazı takip edebilir ya da cihazı klonlayabilirsiniz.” yorumunu yaptı.
Sızan verilerde kendini arayan çoğu kişi, bilgilerin kendisine ait olduğunu doğrularken çok az kişi de bilgilerin hatalı olduğunu söylüyor.
NTMC, toplanan verilerin amacı ve miktarı da dâhil olmak hiçbir soruyu yanıtlamadı. Bangladeş hükûmeti de yorum taleplerine yanıt vermedi.
BİLGİSAYAR KORSANLARI VERİLERİ ELE GEÇİRDİ
Markopoulos, söz konusu veri tabanının bir saldırgan ya da saldırganlar grubu tarafından ele geçirildiğini ve kuruma bir fidye notu bırakıldığını belirtti.
Saldırganlar fidye için 0.01 Bitcoin ödenmesi talep ederken, fidyenin ödenmemesi hâlinde verileri kamuya açıklayacaklarını belirtti.
Bu sırada Markopoulos, veri tabanında yeni girişlerin görünmeye başladığını ve bunların sistemin hâlâ kullanımda olduğunu gösterebilecek bir “arama günlüğü” dizini içerdiğini ifade etti.
NTMC, İSRAİL’DEN GÖZETLEME TEKNOLOJİSİ SATIN ALDI
Kendisini 167 milyon nüfuslu Bangladeş’teki “yasal şekilde iletişim dinleme” sağlayan bir kuruluş olarak tanımlayan NTMC, 2013 yılında kurulmuştu.
Son raporlara göre 30’dan fazla kurum NTMC’ye bağlı ve NTMC’nin elinde mobil operatörler, pasaportlar, göçmenlik hizmetleri ve diğer kurumlardan kayıtlar bulunuyor.
Ocak ayında ise NTMC’nin İsrailliler tarafından yönetilen şirketlerden gözetleme teknolojisi satın aldığı belirtilmişti.
NTMC BÜYÜK HACİMLERDE VERİ TOPLUYOR
NTMC’de çalışan eski bir telekom uzmanı, NTMC’nin “yasal dinleme merkezi” olarak çok büyük hacimlerde veri toplayabildiğini iddia etti. Anonim kalmak isteyen eski uzman, “Sadece mobil şirketlerden arama veri kayıtlarını toplamakla kalmıyorlar, aynı zamanda internet sağlayıcılarından da günlükleri ve ayrıntılı kayıtları, oturum geçmişini topluyorlar.” iddiasında bulundu.
Bangladeş’in Avrupa’nın katı veri koruma yasalarına paralel yasal düzenlemelere sahip olmamasına atıfta bulunan eski çalışan, “Yaptıkları gözetleme türü Avrupa ülkelerinden daha güçlü.” ifadelerini kullandı.
Bangladeşli bir araştırmacıysa, Bangladeş’te gelecek yıl yapılacak seçimler öncesinde bireylerin daha fazla gözetlenmesini ve hedef alınmasını beklediklerini ifade etti.
Halk Sağlığı Yönetim Sistemi’ne (HSYS) kayıtlı 100 milyondan fazla vatandaşın bilgilerinin sızdırıldığı iddia edildi.
Hacker platformu BreachForums üzerinde bir mesaj yayımlayan Greekguy adlı tehdit aktörü, hasta takibinin yapıldığı HSYS sistemine kayıtlı 100 milyonu aşkın kişinin verilerini yüklediğini öne sürdü. Bilgiler arasında daha önce vefat eden kişilerin de yer aldığı belirtiliyor.
Greekguy’ın paylaştığı söz konusu veri tabanı ad, soyad, doğum tarihi, adres, ebeveyn adı-soyadı ve TC kimlik numarası gibi başlıklardan oluşuyor.
Veriler 32 GB’dan fazla bir yer kaplıyor ve verileri indirmek için foruma üye olup kredi yüklemek gerekiyor.
Paylaşım sonrası tehdit aktörünün forumdan yasaklandığı gözlemlendi.
Alternatif taksi uygulaması Uber’i hedef alan ve kişisel bilgilerin sızmasına yol açan siber saldırıda MFA Fatigue (çok faktörlü kimlik doğrulaması yorgunluğu) taktiği ön plana çıktı.
1- SALDIRIDA HANGİ YÖNTEM KULLANILDI?
Genç bir hacker, Uber’in sistemlerine erişim sağladığını iddia etti ve saldırı veri ihlallerine yol açtı. Sözkonusu ihlalin boyutu tam olarak netleşmese de yöntemleri her geçen gün ortaya çıkıyor. Tehdit aktörünün ilk olarak şirkette çalışan bir kişiyi hedef aldığı ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama bildirimi göndermek suretiyle giriş yapmaya çalışan kişide oluşan “MFA Fatigue” zafiyetini istismar ettiği düşünülüyor.
Geçtiğimiz hafta araç paylaşım devi Uber “bir siber güvenlik olayına” müdahale ettiğini ve ihlalle ilgili olarak kolluk kuvvetleriyle temasa geçtiğini doğruladı. Saldırının sorumluluğunu 18 yaşında bir hacker olduğunu iddia eden bir kişi üstlendi. Saldırganın geçtiğimiz hafta perşembe gecesi Uber’in Slack kanalında “Merhaba bir hacker olduğumu ve Uber’in bir veri ihlali yaşadığını duyuruyorum” şeklinde bir paylaşımda bulunduğu bildirildi. Slack gönderisinde ayrıca, hackerın ihlal ettiğini iddia ettiği bir dizi Uber veritabanı ve bulut hizmeti de listelendi.
2-UBER’DE MEYDANA GELEN VERİ İHLALİNİN BOYUTLARI NE KADAR?
İhlali ilk olarak bildiren New York Times gazetesine göre, şirket Perşembe akşamı Slack ve diğer bazı dahili hizmetlere erişimi geçici olarak durdurdu. Cuma günü yapılan bir bilgi güncellemesinde ise şirket, “dün önlem olarak kaldırdığımız dahili yazılım araçları tekrar çevrimiçi hale getiriliyor” dedi. Uber ayrıca Cuma günü yaptığı açıklamada, geleneksel ihlal bildirim diline başvurarak, “olayın hassas kullanıcı verilerine (tarama geçmişi gibi) erişimi içerdiğine dair hiçbir kanıt olmadığını” söyledi. Ancak hacker tarafından sızdırılan ekran görüntüleri, Uber’in sistemlerinin derinlemesine ve kapsamlı bir şekilde tehlikeye atılmış olabileceğini ve saldırganın erişemediği bilgilerin fırsat bulamamaktan değil vakit sınırından kaynaklı olabileceğini ortaya koyuyor.
3-GEÇMİŞTEKİ BENZER BİR SALDIRI OLDU MU?
Ofansif güvenlik mühendisi Cedric Owens, hackerın şirkete sızmak için kullandığını iddia ettiği kimlik avı ve sosyal mühendislik taktikleri hakkında “Bu cesaret kırıcı ve Uber kesinlikle bu yaklaşımın işe yarayacağı tek şirket değil. Bu saldırıda şu ana kadar bahsedilen teknikler, ben de dahil olmak üzere pek çok Red Team üyesinin geçmişte kullandıklarına oldukça benziyor. Ne yazık ki, bu tür ihlaller artık beni şaşırtmıyor.” ifadelerini kullandı.
WIRED’ın görüşme taleplerine cevap vermeyen saldırgan, ilk olarak bireysel bir çalışanı hedef alarak ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama giriş bildirimleri göndererek şirket sistemlerine erişim sağladığını iddia ediyor. Hacker, bir saatten fazla bir süre sonra aynı hedefle WhatsApp üzerinden iletişime geçerek Uber BT çalışanı gibi davrandığını ve hedefin oturum açmayı onaylamasıyla çok faktörlü kimlik doğrulaması bildirimlerinin kesileceğini söylediğini iddia etti.
4-SALDIRI SİSTEMİ HANGİ ZAFİYETLERE AÇIK HALE GETİRDİ?
“MFA (çok faktörlü kimlik doğrulaması) yorgunluğu” veya “tükenme” saldırıları olarak bilinen bu tür saldırılar, hesap sahiplerinin rastgele oluşturulmuş bir parola oluşturmak gibi yollardan ziyade cihazlarındaki bir anlık bildirim yoluyla oturum açmayı onaylamaları gereken kimlik doğrulama sistemlerinden yararlanıyor.
MFA-istekli kimlik avları saldırganlar arasında giderek daha popüler hale geliyor. Her geçen gün daha fazla şirket iki faktörlü kimlik doğrulamasını kullandıkça hackerlar, bunu aşmak için kimlik avı saldırılarını giderek daha fazla geliştirdiler. Örneğin son Twilio ihlali, çok faktörlü kimlik doğrulama hizmetleri sağlayan bir şirketin kendisi tehlikeye girdiğinde sonuçların ne kadar korkunç olabileceğini gösterdi. Sisteme giriş için fiziksel kimlik doğrulama anahtarları gerektiren kuruluşlar, bu tür uzaktan sosyal mühendislik saldırılarına karşı kendilerini savunmada başarılı oldular.
5-SALDIRGANLAR SİSTEME SIZDIKTAN SONRA HANGİ HESAPLARA ERİŞİM SAĞLADI?
“Sıfır güven” ifadesi güvenlik sektöründe anlamsızlaşan bir moda sözcük haline gelse de Uber ihlali sıfır güvenin en azından ne olmadığının bir örneğini ortaya koymuş oldu. Saldırgan şirket içinde ilk erişimi sağladıktan sonra, Microsoft’un otomasyon ve yönetim programı PowerShell için komut dosyaları da dahil olmak üzere ağ üzerinde paylaşılan kaynaklara erişebildiklerini iddia ediyorlar. Saldırganlar, komut dosyalarından birinin erişim yönetim sistemi Thycotic’in bir yönetici hesabı için sabit kodlanmış kimlik bilgileri içerdiğini söyledi.
Saldırgan bu hesabın kontrolünü ele geçirerek Amazon Web Services, Google GSuite, VMware vSphere dashboard, kimlik doğrulama yöneticisi Duo ve kritik kimlik ve erişim yönetimi hizmeti OneLogin dahil olmak üzere Uber’in bulut altyapısı için erişim jetonu elde edebildiklerini iddia etti. Saldırgan tarafından sızdırılan ekran görüntüleri, OneLogin de dahil olmak üzere bu derin erişim iddialarını destekliyor.
