Eylül'ü uğurlarken geride tuhaf ve öğretici siber olaylar bıraktık. Eylül ayı boyunca; Coinbase dosyasındaki yeni perde, bir başka delik deşik yapay zekâ platformu ve ABD hızlı servis zincirlerinde çıkan açıklar çok konuşuldu. Türk işi söyleyelim: çayı demleyin, ayrıntılar bol.

SINIFTA KALAN GÜVENLİK

Ne Oldu?

Birleşik Krallık’ta okullardaki içeriden kaynaklı bilgi güvenliği olaylarının yarısından fazlasını bizzat öğrenciler gerçekleştirdi.

Nasıl Oldu?

11 Eylül 2025’te Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), eğitim sektöründeki 215 iç kaynaklı kişisel veri ihlali bildirimini analiz etti ve %57’sinin öğrencilerden kaynaklandığını açıkladı.

Örneklerden biri şöyle: Bir öğrenci, kurum personeline ait bir hesabı kullanarak okulun bilgi sistemine sızdı; 9 binden fazla kişinin kişisel verilerini görüntüledi, bazılarını değiştirdi ya da sildi. Hesaba nasıl eriştiği bilinmiyor; ancak ICO’nun başka verilerine göre bu tür olaylarda çalışan hatası (ör. gözetimsiz bırakılan dizüstü) pay sahibi.

Bir diğer vakada üç tane 6. sınıf öğrencisi, okulun bilgi sisteminde 1.400’den fazla öğrenciye ait kayıtlara izinsiz erişti. Gerekçe? “Siber güvenliğe merak” ve “kendimizi denemek.” Kullandıkları araç mı? İnternetten bulup indirdikleri parola ve güvenlik protokolü atlama yazılımları.

KARMA’DAN KAÇIŞ YOK

Ne Oldu?

Coinbase’in dış kaynak müşteri destek sağlayıcısı TaskUs, içeriden bir güvenlik olayını gizlemekle suçlanıyor; mağdurlar 16 Eylül’de toplu dava açtı.

Nasıl Oldu?

Mayıs bülteninde hatırlattığımız gibi Coinbase, outsource destek personelinin ekran görüntüsü çekip müşteri verilerini satması nedeniyle sarsılmış, 69 binden fazla kişi etkilenmişti.

Yeni belgelerde başrol Ashita Mishra. TaskUs çalışanı Mishra, Eylül 2024’ten itibaren Coinbase müşterilerinin verilerini ekran görüntüsüyle topladı. İddiaya göre günde 200’e kadar ekran görüntüsü aldı ve her biri için 200 dolar kazandı. Kolay kazanç şemasını iş arkadaşlarıyla paylaştı; onlar da katıldı.

 
Dava dilekçesinde, TaskUs yönetiminin yasa dışı faaliyetten haberdar olduğu, hatta Mishra’nın telefonunda 10 binden fazla gizli müşteri fotoğrafı tespit edildiği belirtiliyor. Ortalık kızışınca şirket, Coinbase tarafında çalışan tüm ekibi işten çıkardı; ancak eski çalışanlar üzerinden sızıntı sürdü. Şimdi TaskUs, olayı gizlemekle de suçlanıyor.

Savunma cephesi ise farklı bir çizgi izliyor: “Sadece iki insider vardı, üstelik şemada Coinbase tarafında da payı olanlar bulunuyor.” Kısacası, dosya büyüyor.

Çekirdekleri hazırlayın: Dava süreci, outsource modelinde “kimin, hangi veriye, nasıl ve ne kadar süreyle eriştiği” sorusunu yeniden masaya yatıracak gibi.

SEPET DOLU, ÖDEME YOK: 115 SİPARİŞLİK VURGUN

Ne Oldu? 

Milwaukee Electric Tool’un eski BT çalışanı Matthew Young, şirket sistemlerine erişimini kullanarak 115 sahte sipariş oluşturdu; ürünleri teslim alıp 1 milyon doların üzerinde haksız kazanç elde etti.

Nasıl Oldu?

Şirket; elektrikli el aletleri ve aksesuarları geliştirip satıyor. Young, Mart 2024 – Mart 2025 arasında bilgi sistemlerinde teslimat talebi oluşturup ürünleri belirli adreslere yönlendirdi. Kurye işlemi tamamlayınca sipariş izlerini sistemden sildi; tabii tek kuruş ödeme yapmadan.

Ürünleri, Milwaukee Electric Tool’un hâlihazırdaki müşterilerine el altından satarak gelir elde etti. Şüpheli hareketleri mesai arkadaşları fark edince polise başvuruldu. Yapılan soruşturmada silinmiş sipariş kayıtlarının logları bulundu.

Sonuç: Young’a 14 ayrı suçlama yöneltildi. Tüm başlıklardan suçlu bulunursa, 98 yıla kadar hapis ve para cezası gündemde.

“DEVAMI VAR” MENÜSÜ

Ne Oldu?

Restaurant Brands International (RBI)’ın (Burger King, Tim Hortons, Popeyes) iç platformu Assistant’ta bir dizi kritik zafiyet, çalışan verileri ve mağaza verilerine erişimi mümkün kıldı; hatta drive-thru ses kayıtlarına ulaşılabildi.

Nasıl Oldu?

Önceki bültenimizde bahsettiğimiz etik güvenlik araştırmacısı BobDaHacker, bu kez BobTheShoplifter ile birlikte RBI servislerini inceledi. Anlatımlarına göre sistemi “kırmak”, ıslanmış hamburger kâğıdını yırtmak kadar kolaydı. Raporu yayımladıktan kısa süre sonra üsluplarının “fazla sivri” bulunması nedeniyle teknik detayları içeren metni kaldırmak zorunda kaldılar; ancak bilgiler çoktan medyaya yayılmıştı.

 
Buldukları başlıca açıklar:

• Kayıt fonksiyonu kapatılmayı unutulduğu için herkes iç hesap açabiliyordu,
• Parolalar e-posta ile düz metin olarak gönderiliyordu (McDonald’s vakasını anımsatan bir tablo),
• GraphQL API’deki createToken fonksiyonuyla tüm platformda admin yetkisi verilebiliyor, mağaza ve çalışan profilleri dahil veriler görüntülenip değiştirilebiliyordu,
• Diagnostik sayfalar, koda gömülü “admin” parolasıyla “korunuyordu.”

En kritik kısım ise drive-thru siparişlerinin gerçek ses kayıtlarına erişim oldu. Bu kayıtlar, hizmet kalitesi analizi ve müşteri duygu takibi için geliştirilen yapay zekâ modellerini eğitmek amacıyla saklanıyordu; kayıtlar arasında kişisel veriler de bulunabiliyordu.

Araştırmacılar, bulguları keşiften bir saat sonra RBI’a bildirdiklerini, ekibin de aynı gün yamaları geçtiğini belirtti. (Burada hakkını teslim etmek gerekir; sarı-kırmızı rakiplerine kıyasla daha hızlı bir refleks.)

ÖZELLİK GAZI VAR, EMNİYET KEMERİ YOK

Ne Oldu?

Vyro AI adlı şirketin veritabanı açık erişimde kaldı; 100+ GB’lık kullanıcı verisi arama motorlarınca indekslendi.

Nasıl Oldu?
22 Nisan 2025’te Cybernews araştırmacıları, Vyro AI’in güncel ve sürekli veri toplayan veritabanına herkese açık şekilde erişilebildiğini tespit etti. Sızıntı; ImagineArt (10+ milyon indirme), Chatly (100+ bin indirme) ve Chatbotx (aylık ~50 bin ziyaretçi) uygulamalarının çalışma ve test ortamı loglarını içeriyordu: kullanıcı istekleri, kimlik doğrulama token’ları, cihaz ve tarayıcı bilgileri… Bu kombinasyon; kullanıcı hareketlerini izleme, hesap ele geçirme ve sohbet içeriklerinden bilgi çekme risklerini doğuruyor.

Araştırmacılara göre veritabanı 2025 Şubat ortasında arama motorlarınca indekslenmişti. Sunucu 22 Nisan’da bulunabildi; sorun çözülmeden yayın yapmanın etik olmayacağı gerekçesiyle beklendi. Şirketin ulusal CERT’e bildirim yapması ise yaz sonunu buldu; konu Eylül’de medyaya yansıdı.

Bu ilk değil. Ağustos ayında, kimi kullanıcılar ChatGPT ve Grok sohbetlerinin, paylaşım bağlantısı özelliği nedeniyle Google aramalarında göründüğünü paylaştı. Yani yine aynı sonuç: “Özellik hızı”, güvenliğin önüne geçiyor.