Karşınızda aylık bültenimizin ilk sayısı! Bu seride, güvenlik dünyasından en karmaşık – ve kimi zaman gülümsetecek kadar ilginç – olayları derleyip sizinle paylaşacağız.

KEDİ FARE OYUNU: COINBASE İÇERİDEN VURULDU

Ne Oldu?
ABD merkezli kripto para borsası Coinbase, yaklaşık 1 milyon müşterisinin kişisel verilerinin sızdırıldığını duyurdu. Şirket, bu verileri ifşa etmemek karşılığında milyonlarca dolar fidye talep eden siber dolandırıcılara karşı harekete geçti.

Nasıl Oldu?
11 Mayıs’ta anonim saldırganlar, Coinbase’e ulaştıkları bir e-postada, ellerinde bulunduğunu iddia ettikleri müşteri verilerini yayınlamamak için 20 milyon dolar talep etti. Borsa, hızla dahili bir soruşturma başlatarak verilerin gerçekten çalındığını doğruladı. 

Sızmanın, destek hizmetlerinde görevli bazı çalışanların yabancı aktörler tarafından rüşvetle ikna edilmesi sonucu gerçekleştiği belirtildi. Şirket, bu çalışanların ABD dışındaki uzak bir şubede görev yaptığını açıkladı.

Saldırganların elindeki veriler arasında müşterilere ait ad-soyad, adres, telefon numarası, e-posta, sosyal güvenlik ve banka hesap numaralarının son dört hanesi, pasaport ve ehliyet fotoğrafları gibi son derece hassas bilgiler yer alıyor. Söz konusu bilgiler, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yapılan resmi bildirimle de teyit edildi.

15 Mayıs’ta kamuoyuna açıklama yapan şirket, fidyeyi ödemeyeceğini duyurdu. Bunun yerine, aynı miktarı saldırının faillerinin bulunmasına yardımcı olacak bilgilere ödül olarak vereceğini ilan etti.

Coinbase, olayda dahli olduğu tespit edilen çalışanları derhal işten çıkardı ve haklarında cezai işlem başlatma sürecine girdi. Şirket ayrıca, ABD içinde yeni bir müşteri hizmetleri merkezi açacağını, mağdur kullanıcılara zararlarını tazmin edeceğini ve içeriden gelen tehditlerin tespiti için güvenlik yatırımlarını artıracağını bildirdi.

İlk tahminlere göre olayın maliyeti, hem zararın giderilmesi hem de güvenlik iyileştirmeleriyle birlikte 180 ila 400 milyon dolar arasında olabilir.

KÖTÜ İKİZLER: DEVLET YAZILIMI ÜRETEN ŞİRKETE SIZMA SKANDALI

Ne Oldu?

Devlet kurumlarına yönelik çözümler sunan ABD’li yazılım firması Opexus, kritik bir personel seçimi hatasının bedelini ağır ödedi. Şirketin işe aldığı eski siber suçlular, işten çıkarıldıklarında sistemlere zarar verdi, hassas devlet verilerini sildi ve ifşa etti.

Nasıl Oldu?

2023–2024 yılları arasında Muneeb ve Sohaib Akhter adlı ikiz kardeşler Opexus tarafından işe alındı. Ancak şirketin fark edemediği gerçek, bu kişilerin 2015 yılında ABD Dışişleri Bakanlığı ile bazı özel şirketlere yönelik siber saldırılar nedeniyle suçlarını kabul etmiş eski hackerlar olduğuydu.

Şirket, bu geçmişten habersiz olduğunu savundu. Ancak gerçek, Sohaib'in bir müşteri sistemine erişim için güvenlik taramasına girmesi gerektiğinde gün ortaya çıktı.
18 Şubat 2025’te Opexus, kardeşleri çevrim içi bir görüşmeye çağırarak görevlerine son verdiğini bildirdi. Ancak Muneeb, bu karara öfkelenerek toplantı sırasında bir veri tabanının erişimini engelledi, ardından şirkete ait 33 veri tabanını tamamen sildi.

İşten çıkarıldıktan bir saat sonra Muneeb, 1805 dosyadan oluşan ve adı açıklanmayan bir devlet projesine ait verileri sistemden sildi. Aynı gün Sohaib, federal kurum çalışanlarına toplu bir e-posta göndererek Opexus’ta başka güvenlik kontrollerinden geçmemiş personelin bulunduğunu ve müşterilere ait hassas verilerin zayıf parolalarla korunmakta olduğunu iddia etti.

Opexus’un geliştirdiği eCase ve FOIAXpress platformları yaşanan bu olay nedeniyle ciddi aksaklıklar yaşadı. Şirket ise olayın ciddiyetini kamuoyuna tam olarak yansıtmamayı tercih etti. Ancak olayın büyümesi üzerine devreye Google’ın siber güvenlik iştiraki Mandiant girdi.

Mandiant uzmanları, yapılan tüm ihlalleri doğruladı ve Opexus’un bilgi güvenliği altyapısında ciddi zafiyetler olduğunu tespit etti. Özellikle Muneeb’in hesabından bir USB cihazına gizli 1805 dosyanın kopyalanması, kurum içi güvenlik kontrollerinin yetersizliğini ortaya koydu. Bu tür işlemler yazılımsal olarak engellenmiş olmalıydı.

21 Mayıs’ta Bloomberg’in konuyu detaylarıyla haberleştirmesiyle birlikte olay büyük yankı uyandırdı. Yeni detayların gün yüzüne çıkması bekleniyor.

xAI ANAHTARI AÇIKTA UNUTTU

Ne Oldu?

Elon Musk’a ait yapay zekâ girişimi xAI, ciddi bir siber güvenlik zafiyetiyle gündemde. Şirket çalışanlarından biri, erişimi kısıtlanmış bir API anahtarını yanlışlıkla GitHub’a yükleyince, onlarca büyük dil modeli yetkisiz erişim riskiyle karşı karşıya kaldı.

Nasıl Oldu?

Siber güvenlik araştırmacısı Philippe Caturegli, GitHub üzerinde xAI’ye ait bir API anahtarı bulduğunu LinkedIn’de paylaştı. Bu paylaşım üzerine Fransız siber güvenlik firması GitGuardian konuyu derinlemesine araştırmaya başladı.

Yapılan analizler, ifşa edilen API anahtarının SpaceX, Tesla ve X (eski Twitter) dahil olmak üzere en az 60 büyük dil modeline erişim sağladığını ortaya koydu. GitGuardian, olayın sorumlusu olduğu tespit edilen xAI çalışanını da doğrudan bilgilendirdi. Ancak haftalar geçmesine rağmen herhangi bir geri dönüş alınamadı.

Araştırmacılar bunun üzerine xAI’nin bilgi güvenliği ekibiyle iletişime geçti. Şirketin ilk tepkisi şaşkınlık yarattı: GitGuardian’a, güvenlik açıklarını bildirmek için HackerOne’daki bug bounty platformunu kullanmalarını tavsiye ettiler. Ancak aynı anda, ilgili API anahtarı sessizce GitHub’dan silindi.

Olay, daha sonra tanınmış siber güvenlik gazetecisi Brian Krebs’e aktarıldı. Krebs’in kamuoyuyla paylaştığı haber, konuya geniş yankı kazandırdı. Ne xAI yetkilileri ne de hataya sebep olan çalışan, olaya ilişkin herhangi bir kamuoyu açıklamasında bulunmadı.

Bu tür olaylarda şirketlerin suskun kalması nadir bir durum değil. Zira itibar riski ve hukuki sonuçlar, birçok firmayı sessizliğe itiyor. 

Bu olay, kurumsal düzeydeki siber güvenlik kültürünün hâlâ olgunlaşma sürecinde olduğunu ve şeffaflığın çoğu zaman ikinci plana atıldığını gözler önüne seriyor.

WORKCOMPOSER’DAN EKRAN GÖRÜNTÜSÜ ŞOVU

Ne Oldu?

Çalışan verimliliğini izlemek için kullanılan WorkComposer uygulamasının güvenlik zafiyeti, milyonlarca çalışanın ekran görüntülerinin internette herkesin erişimine açık halde bulunmasına neden oldu.

Nasıl Oldu?

WorkComposer, çalışanların bilgisayar başındaki aktivitelerini, kullandıkları uygulamaları ve ekran görüntülerini düzenli aralıklarla kaydederek yöneticilere raporluyor. Dünya genelinde 8 binden fazla şirket tarafından kullanılan yazılım, yaklaşık 200 bin kurumsal bilgisayarı izliyor.

Cybernews tarafından yapılan araştırmaya göre, WorkComposer tarafından çekilen 21 milyondan fazla ekran görüntüsü, şifresiz ve korumasız bir şekilde Amazon S3 bulut depolama alanında saklanıyordu. 20 Şubat 2025’te ortaya çıkarılan bu devasa veri sızıntısında, görüntülerde e-posta yazışmaları, kurumsal belgeler, API anahtarları ve parola gibi son derece hassas bilgiler yer alıyordu. Cybernews, durumu 21 Şubat’ta WorkComposer geliştiricilerine bildirdi. Ancak verilerin bulunduğu açık veritabanı yalnızca 1 Nisan’da erişime kapatıldı. 

Benzer bir olay 2024 Temmuz’unda yaşanmıştı. Yine çalışan takibi amacıyla geliştirilen WebWork yazılımına ait 13 milyondan fazla ekran görüntüsü internete açık şekilde bırakılmıştı. O vakada da Cybernews, 13 Ağustos’ta firmayı bilgilendirmiş, ancak veri erişimi ancak 2025 Ocak ayında sonlandırılmıştı.

HACKERLARIN ALTIN MADENI: 184 MİLYON ŞİFRE DÖKÜLDÜ

Ne Oldu?

Apple, Google, Microsoft ve çeşitli banka hesaplarına ait yüz milyonlarca giriş bilgisinin çevrimiçi ortamda korumasız şekilde saklandığı ortaya çıktı.

Nasıl Oldu?

22 Mayıs’ta siber güvenlik araştırmacısı Jeremiah Fowler, internet üzerinde herkese açık biçimde erişilebilen devasa bir veri tabanı keşfettiğini duyurdu. Bu veri tabanında 184 milyondan fazla kullanıcı adı ve parola bulunuyordu. 

Veriler arasında Apple, Google, Microsoft gibi teknoloji devlerine ait kullanıcı hesaplarının yanı sıra çeşitli e-posta servisleri, banka hesapları, sağlık hizmeti platformları ve farklı ülkelerin devlet portallarına ait giriş bilgileri de bulunuyordu. Bu, 2025 yılı itibarıyla kamuya açık hâle gelen en büyük kimlik bilgisi ifşalarından biri olarak kayda geçti.

Fowler, veritabanında bilgileri yer alan bazı bireylerle iletişime geçti. Bu kişilerin çoğu, kimlik bilgilerinin doğru ve hâlâ geçerli olduğunu doğruladı. Araştırmacı, verilerin büyük olasılıkla bir infostealer aracılığıyla toplandığını belirtti.

Fowler, veri tabanının bulunduğu sunucunun hizmet aldığı hosting firmasıyla temasa geçerek durumu bildirdi. Firma hızlıca harekete geçerek veriye erişimi kapattı. Ancak bu kritik bilgilere sahip veri tabanının hangi kişi ya da gruba ait olduğu açıklanmadı.

USB’DEN BELA

Ne Oldu?

Yazıcı üreticisi Procolored, altı ay boyunca kullanıcılarına zararlı yazılım içeren sürücüler dağıttı. 

Nasıl Oldu?

2025 Mayıs ayı başında, Procolored firması ürün tanıtımı amacıyla yazıcılarından birini YouTube içerik üreticisi Cameron Coward’a (Serial Hobbyism) gönderdi. Coward, yazıcıyla birlikte gelen USB bellekten sürücüleri yüklemeye çalıştığında, Windows Defender zararlı yazılım uyarısı verdi: bellekte hem bir solucan hem de trojan bulunduğu tespit edildi.

Çin merkezli Procolored ilk aşamada uyarının yanlış alarm olduğunu savundu. Ancak Coward şüphelenerek araştırmaya devam etti ve konuyu, Reddit'teki “r/computerviruses” topluluğunda bulduğu zararlı yazılımlar konusunda uzman Karsten Hahn’a iletti. 

Yapılan analizde, en az altı farklı Procolored yazıcı modelinin sürücülerinin trojan ve kripto cüzdan bilgisi çalan kötü amaçlı yazılım içerdiği ortaya çıktı. Bu sürücüler, Ekim 2024’ten itibaren Mega.nz üzerinde resmi bağlantılar aracılığıyla kullanıcılarla paylaşılıyordu.

Henüz kaç kullanıcının bu zararlı yazılımlardan etkilendiği bilinmiyor. Ancak Karsten Hahn, blokzincir analiz araçlarını kullanarak zararlı yazılımın geliştiricisinin yaklaşık 1 milyon dolar değerinde kripto para çaldığını ortaya çıkardı.

8 Mayıs civarında Procolored sürücüleri erişimden kaldırdı ve iç soruşturma başlattığını duyurdu. Firma, sürücülerin yalnızca sıkı kontrollerin ardından yeniden paylaşılacağını bildirdi. Ayrıca, şirket zararlı yazılımın sisteme bulaşma sebebi olarak, çalışanlardan birinin kullandığı USB belleğin daha önce virüsle enfekte olmuş olabileceğini öne sürdü.