Vatandaşların kamu kurumlarındaki online hizmetlere erişim sağladığı e-devlet platformunun hacklendiği ve 61 milyon vatandaşın e-devlet bilgilerinin çalındığı iddiası yalanlandı
Dark Web üzerindeki Hydra Market adlı bir kullanıcı paylaştığı mesajda 61 milyon e-devlet hesabına ait bilgileri ele geçirdiğini öne sürerek söz konusu verileri satışa çıkardı.
Siber tehdit aktörü, sızdırdığını iddia ettiği verileri hangi yöntemle elde ettiğine ilişkin bir ayrıntıya yer vermedi. Sızdırıldığı ileri sürülen veriler arasında TC Kimlik No ve e-devlet sistemine girişi parolaları yer alıyor.
Duruma ilişkin e-devlet Kapısı resmi twitter hesabından yapılan açıklamada ise olayın gerçeği yansıtmadığı belirtildi. Açıklamaya göre veri sızıntısının e-devlet altyapısına yönelik olmadığı ve kullanıcılara düzenlenen oltalama ve zararlı yazılım saldırıları kaynaklı sınırlı sayıda kişisel veriyi etkilediği kaydedildi.
Milyonlarca kişinin kullandığı e-devlet üzerinden birçok kritik işlem gerçekleştiriliyor ve kişisel veriler paylaşılıyor.
📢 e-Devlet Kapısı Kullanıcı Hesaplarının Sızdırıldığı İddiaları Hakkında Basın Açıklaması pic.twitter.com/q3YD9d3RNf
Popüler mesajlaşma uygulaması WhatsApp’ta keşfedilen kritik zafiyetler, siber tehdit aktörlerinin cihazınızı uzaktan hackleyerek kontrolü ele geçirmesine ve casus yazılımlar da dahil zararlı yazılımlar göndermesine izin veriyor.
Android ve iOS işletim sistemleri için yayımlanan güncellemelerle söz konusu güvenlik açıkları giderildi.
9,8 kritiklik seviyesinde olan CVE-2022-36934 kodlu zafiyet sadece bir video görüşmesi yoluyla sistemde rastgele kod yürütülmesine olanak tanıyor.
Zafiyet WhatsApp ve WhatsApp Business’ın 2.22.16.12’den önceki versiyonlarını etkiliyor.
7,8 kritiklik seviyesindeki CVE-2022-27492 kodlu zafiyet ise bir video dosyası göndererek cihazın kontrolüne imkan sağlıyor.
Alternatif taksi uygulaması Uber’i hedef alan ve kişisel bilgilerin sızmasına yol açan siber saldırıda MFA Fatigue (çok faktörlü kimlik doğrulaması yorgunluğu) taktiği ön plana çıktı.
1- SALDIRIDA HANGİ YÖNTEM KULLANILDI?
Genç bir hacker, Uber’in sistemlerine erişim sağladığını iddia etti ve saldırı veri ihlallerine yol açtı. Sözkonusu ihlalin boyutu tam olarak netleşmese de yöntemleri her geçen gün ortaya çıkıyor. Tehdit aktörünün ilk olarak şirkette çalışan bir kişiyi hedef aldığı ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama bildirimi göndermek suretiyle giriş yapmaya çalışan kişide oluşan “MFA Fatigue” zafiyetini istismar ettiği düşünülüyor.
Geçtiğimiz hafta araç paylaşım devi Uber “bir siber güvenlik olayına” müdahale ettiğini ve ihlalle ilgili olarak kolluk kuvvetleriyle temasa geçtiğini doğruladı. Saldırının sorumluluğunu 18 yaşında bir hacker olduğunu iddia eden bir kişi üstlendi. Saldırganın geçtiğimiz hafta perşembe gecesi Uber’in Slack kanalında “Merhaba bir hacker olduğumu ve Uber’in bir veri ihlali yaşadığını duyuruyorum” şeklinde bir paylaşımda bulunduğu bildirildi. Slack gönderisinde ayrıca, hackerın ihlal ettiğini iddia ettiği bir dizi Uber veritabanı ve bulut hizmeti de listelendi.
2-UBER’DE MEYDANA GELEN VERİ İHLALİNİN BOYUTLARI NE KADAR?
İhlali ilk olarak bildiren New York Times gazetesine göre, şirket Perşembe akşamı Slack ve diğer bazı dahili hizmetlere erişimi geçici olarak durdurdu. Cuma günü yapılan bir bilgi güncellemesinde ise şirket, “dün önlem olarak kaldırdığımız dahili yazılım araçları tekrar çevrimiçi hale getiriliyor” dedi. Uber ayrıca Cuma günü yaptığı açıklamada, geleneksel ihlal bildirim diline başvurarak, “olayın hassas kullanıcı verilerine (tarama geçmişi gibi) erişimi içerdiğine dair hiçbir kanıt olmadığını” söyledi. Ancak hacker tarafından sızdırılan ekran görüntüleri, Uber’in sistemlerinin derinlemesine ve kapsamlı bir şekilde tehlikeye atılmış olabileceğini ve saldırganın erişemediği bilgilerin fırsat bulamamaktan değil vakit sınırından kaynaklı olabileceğini ortaya koyuyor.
3-GEÇMİŞTEKİ BENZER BİR SALDIRI OLDU MU?
Ofansif güvenlik mühendisi Cedric Owens, hackerın şirkete sızmak için kullandığını iddia ettiği kimlik avı ve sosyal mühendislik taktikleri hakkında “Bu cesaret kırıcı ve Uber kesinlikle bu yaklaşımın işe yarayacağı tek şirket değil. Bu saldırıda şu ana kadar bahsedilen teknikler, ben de dahil olmak üzere pek çok Red Team üyesinin geçmişte kullandıklarına oldukça benziyor. Ne yazık ki, bu tür ihlaller artık beni şaşırtmıyor.” ifadelerini kullandı.
WIRED’ın görüşme taleplerine cevap vermeyen saldırgan, ilk olarak bireysel bir çalışanı hedef alarak ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama giriş bildirimleri göndererek şirket sistemlerine erişim sağladığını iddia ediyor. Hacker, bir saatten fazla bir süre sonra aynı hedefle WhatsApp üzerinden iletişime geçerek Uber BT çalışanı gibi davrandığını ve hedefin oturum açmayı onaylamasıyla çok faktörlü kimlik doğrulaması bildirimlerinin kesileceğini söylediğini iddia etti.
4-SALDIRI SİSTEMİ HANGİ ZAFİYETLERE AÇIK HALE GETİRDİ?
“MFA (çok faktörlü kimlik doğrulaması) yorgunluğu” veya “tükenme” saldırıları olarak bilinen bu tür saldırılar, hesap sahiplerinin rastgele oluşturulmuş bir parola oluşturmak gibi yollardan ziyade cihazlarındaki bir anlık bildirim yoluyla oturum açmayı onaylamaları gereken kimlik doğrulama sistemlerinden yararlanıyor.
MFA-istekli kimlik avları saldırganlar arasında giderek daha popüler hale geliyor. Her geçen gün daha fazla şirket iki faktörlü kimlik doğrulamasını kullandıkça hackerlar, bunu aşmak için kimlik avı saldırılarını giderek daha fazla geliştirdiler. Örneğin son Twilio ihlali, çok faktörlü kimlik doğrulama hizmetleri sağlayan bir şirketin kendisi tehlikeye girdiğinde sonuçların ne kadar korkunç olabileceğini gösterdi. Sisteme giriş için fiziksel kimlik doğrulama anahtarları gerektiren kuruluşlar, bu tür uzaktan sosyal mühendislik saldırılarına karşı kendilerini savunmada başarılı oldular.
5-SALDIRGANLAR SİSTEME SIZDIKTAN SONRA HANGİ HESAPLARA ERİŞİM SAĞLADI?
“Sıfır güven” ifadesi güvenlik sektöründe anlamsızlaşan bir moda sözcük haline gelse de Uber ihlali sıfır güvenin en azından ne olmadığının bir örneğini ortaya koymuş oldu. Saldırgan şirket içinde ilk erişimi sağladıktan sonra, Microsoft’un otomasyon ve yönetim programı PowerShell için komut dosyaları da dahil olmak üzere ağ üzerinde paylaşılan kaynaklara erişebildiklerini iddia ediyorlar. Saldırganlar, komut dosyalarından birinin erişim yönetim sistemi Thycotic’in bir yönetici hesabı için sabit kodlanmış kimlik bilgileri içerdiğini söyledi.
Saldırgan bu hesabın kontrolünü ele geçirerek Amazon Web Services, Google GSuite, VMware vSphere dashboard, kimlik doğrulama yöneticisi Duo ve kritik kimlik ve erişim yönetimi hizmeti OneLogin dahil olmak üzere Uber’in bulut altyapısı için erişim jetonu elde edebildiklerini iddia etti. Saldırgan tarafından sızdırılan ekran görüntüleri, OneLogin de dahil olmak üzere bu derin erişim iddialarını destekliyor.
Popüler sosyal medya platformu Twitter üzerinde bulunan 5,4 milyon hesaba ait bilgilerin bulunduğu bir veri tabanı satışa çıkarıldı.
Dark Web’de bir forumda yayımlanan mesajda siber tehdit unsurları, Twitter’da tespit edilen ve daha sonra düzeltilen bir güvenlik açığını istismar ederek 5,4 milyon hesabın verilerini elde ettiğini iddia etti
Verileri tümünü 30 bin dolar bedelle satışa çıkaran tehdit aktörleri, veri tabanında ünlülerin ve büyük firmaların da hesaplarına ait bilgilerin yer aldığını öne sürdü.
Örnek veri setini de paylaşan saldırganların ele geçirdiği veriler arasında e-posta ve telefon numaraları da yer alıyor.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin etkinliğine katılanların cep telefonlarının farkındalık yaratmak için hacklenmesi veri güvenliği açısından hukuki bir tartışmanın fitilini ateşledi.
Geçtiğimiz günlerde Gençlik ve Spor Bakanlığı uhdesinde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Bilgi Teknolojileri ve İletişim Kurumu ve Türkiye Bilişim Derneğinin katkısıyla düzenlenen Gençlik ve Bilişim Festivali’nin açılışı gerçekleştirildi.
Festivalde konuşmasını gerçekleştiren Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Ali Taha Koç, tartışmalı ifadeler kullandı. Söz konusu açıklamalardan hareketle açılış konuşmasında bahsettiği durumun suç olup olmadığını İstanbul Barosu Bilişim Hukuku Komisyonu başkanlığı görevini yürüten Avukat Fehmi Ünsal Özmestik’e sorduk.
Bilişim Festivali kapsamında düzenlenen Üreten Gençlik Paneli’nde birçok gençle buluşan Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanı Koç, burada gençlere yönelik bir konuşma yaptı.
Koç, salonda bulunan bazı katılımcıların cep telefonlarının az önce hacklendiğini belirterek şunları kaydetti:
“İnsanlar şunun farkında değiller, ortak Wi-Fi ağları güvenli mi? ‘Otomatik olarak bağlan’ tuşu kötü niyetli kişilerce kullanılabilen bir şey. Şu anda bu tuşu açık olan bazı arkadaşlarımızın verilerini ele geçirdik, onlarla birebir görüşeceğiz. Ben size ‘Wi-Fi’ye bağlanmayın’ deseydim nasıl etki yapardı, şu anda canlı canlı Wi-Fi hacklendiğinde nasıl etki yaratıyor? Dijital Dönüşüm Ofisi olarak yapmayı hedeflediklerimizden en önemlisi de farkındalık yaratmak.”
AÇIKLAMALAR SUÇ TEŞKİL EDİYOR MU?
Kaydettiği ifadelerde katılımcıların verilerini ele geçirdiklerini söyleyen Ali Taha Koç’un bu ifadelerinin suç teşkil edip etmediğini Avukat Fehmi Ünsal Özmestik, Siber Bülten için değerlendirdi.
Özmestik, “Öncelikle ortak Wi-Fi ağları kullanılarak zafiyet bulunan bilgisayarlara ve cihazlara kolay olmasa da erişim sağlanabiliyor. Cihazlarında zafiyet bulunan veya bu tarz tehdide açık ağlar kullanan kişilerin dışarıda bir tehdit olduğunun, bu tehdide maruz kalabileceğinin, verilerinin çalınabileceğinin farkında olmaları gerekiyor. Ancak bunun farkındalık yolları veya cihazlarda zafiyet bulunup bulunmadığını öğrenmenin yolları var. Bunlar arasında bilgilendirici açıklamalarla bilinç düzeyini yükseltmek, sızma testleri yapmak gibi çeşitli uygulamalar bulunuyor. Ancak Ali Taha Koç’un ifadelerinin herhangi bir rıza kapsamında değilse TCK’nın 243 ve 244 maddelerine göre “bir kişinin rızası olmadan verilerinin ele geçirilmesi” kapsamında değerlendirilebileceğini ve yapılan eylemin her ne kadar farkındalık yaratmak gibi ‘iyi niyetli’ de olsa mahkemede bunun bir anlam ifade etmeyeceğini ve bunun suç olduğunu söylemek gerekiyor.” ifadelerini kullandı.
