Siber güvenlik dünyasında bazı aylar vardır ki, sadece kötü amaçlı yazılımlar ya da sıfır gün açıkları değil; tamamen insan faktörü manşetleri belirler. Temmuz ayı da tam olarak böyleydi: içeriden vurulan şirketler, intikamcı sistem yöneticileri, işini yapmadan maaş alan efsanevi yazılımcılar… Buyurun, Temmuz’un bol ibretli siber güvenlik günlüğüne.

140 MİLYON DOLARLIK SOSYAL MÜHENDİSLİK OPERASYONU

Ne Oldu?

Brezilya’da fintech sağlayıcısı C&M Software, çalışanlarından birinin sızdırdığı bilgiler yüzünden 140 milyon dolarlık zarara uğradı.

Nasıl Oldu?

C&M Software, küçük bankaları Brezilya’nın ulusal ödeme sistemlerine bağlayan bir ara katman teknoloji sağlayıcısı. Mart 2025’te, siber suçlular şirketin bir IT çalışanına ulaşıp “küçük bir ricada” bulundu: kurumsal erişim bilgilerini 4.500 dolar karşılığında satması. Çalışan kabul etti.

30 Haziran’da saldırganlar, C&M’in altyapısına tam erişim sağladı ve bağlantılı bankaların sistemlerinden milyonlarca doları çekti. Saldırı ancak 2 Temmuz’da fark edildiğinde iş işten geçmişti: 40 milyon dolar çoktan aklanmıştı bile.

C&M, olayın teknik bir açık değil, sosyal mühendislik kaynaklı bir iç tehdit olduğunu doğruladı.

İNTİKAM... BAZEN SICAK YENİR

Ne Oldu?

Bir sistem yöneticisi, uzaklaştırıldığı şirkete öyle bir geri döndü ki, şirketin ve yurt dışındaki müşterilerinin faaliyetleri kesintiye uğradı; 200 bin dolar zarar oluştu.

Nasıl Oldu?

İngiltere’de bir şirkette çalışan Mohammed Umar Taj, 2022’de adı açıklanmayan bir disiplin gerekçesiyle geçici olarak görevden alındı; ancak sistem erişimleri kapatılmadı.

Taj, birkaç saat içinde şifreleri değiştirip tüm sistemi kilitledi. Yetmedi, ertesi gün çok faktörlü kimlik doğrulama ayarlarını da değiştirip şirkete tam anlamıyla kabus yaşattı.

Sonuç: 200 bin dolarlık zarar ve uluslararası hizmet kesintileri. Taj, tüm adımları loglamış, hatta telefonda da anlatmış. 2025’te mahkemeye çıktı, suçunu kabul etti ve 7 ay hapis cezası aldı.

KRİPTOYU ÇALDI, MAKARNAYA YATIRDI

Ne Oldu?

İngiltere’nin Ulusal Suç Ajansı (NCA) memuru Paul Choles, suçlulardan el konulan 50 Bitcoin’i zimmetine geçirdi.

Nasıl Oldu?

Choles, 2013’te FBI’la ortak yürütülen bir operasyonda, dark web’de ünlü uyuşturucu satıcısı Thomas White’ın yakalanmasında görev aldı. Operasyon sonrası zanlının hesabından el konulan 97 Bitcoin’in 50’si bir anda buhar oldu; şüphe zanlıya değil, ekibe yöneldi.

 
Soruşturma sonucunda, Choles’un 2017’de Bitcoin’leri kendi cüzdanına aktardığı ve sonrasında beş yıl boyunca market alışverişlerinde kullandığı tespit edildi. Ofisinden çıkan defterlerde kullanıcı adları, kripto cüzdan detayları ve işlem geçmişleri bulundu. Suçunu kabul etti; 5 yıl 6 ay hapis cezası aldı.

Not: El konulan 50 BTC, çalındığı tarihte yaklaşık 60 bin sterlin değerindeydi; mahkeme gününe gelindiğinde değeri 4,4 milyon sterline yükselmişti.

HACKERLARIN DOSTU MÜZAKERECİ

Ne Oldu?

Fidye saldırılarında müzakere hizmeti veren DigitalMint’in eski bir çalışanı, saldırgan gruplarla anlaşarak mağdur şirketlerin ödediği fidyelerden pay aldığı iddiasıyla ABD Adalet Bakanlığı tarafından soruşturuluyor.

Nasıl Oldu?

İddiaya göre çalışan, saldırgan gruplarla işbirliği yaparak firmalardan toplanan fidyelerin bir kısmını komisyon olarak alıyordu.

DigitalMint, olay üzerine çalışanı hemen işten çıkardı. DigitalMint etrafında patlak veren skandalın ardından bazı şirketler, müşterilerine bu firmayla çalışmaya bir süre ara vermelerini tavsiye etti.

BÜYÜK BOY AÇIK VERİ, YANINDA 123456 PAROLAYLA

Ne Oldu?

McDonald's’ın işe alım chatbot’u, varsayılan parolası yüzünden milyonlarca adayın verisini açığa çıkardı.

Nasıl Oldu?

Siber güvenlik araştırmacıları Ian Carroll ve Sam Curry, platformda açığı gösterdi: herkesin tüm aday–bot konuşmalarına erişmesini sağlayan bir zafiyet vardı. Üstelik sistem “123456” parolasıyla “korunuyordu”.

Araştırmacılar sadece 30 dakikada 64 milyon kayda ulaştı; ad–soyad, e-posta, telefon gibi bilgiler görüntülendi.

McDonald’s, Paradox.ai’den güvenlik standartlarına uyum talep ettiğini duyurdu. 

Paradox.ai açıkları hızla kapattı, zayıf oturum bilgilerini devre dışı bıraktı ve API erişimini engelledi. Şirket, araştırmacıların eriştiği yalnızca beş kayıtta kişisel veri bulunduğunu, “123456” parolalı yönetici hesabının da üçüncü kişilere açık olmadığını savundu (Carroll ve Curry dışında, elbette).

KOD YAZMADAN MAAŞ YAZDIRAN ADAM

Ne Oldu?

Hindistanlı bir yazılımcı, dört yıl boyunca 80 şirkette çalışıp hiçbir şey yapmadan maaş aldı.

Nasıl Oldu?

Parekh’in “oyunu”, Playground AI’dan kovulunca ifşa oldu. Girişimin kurucusu sosyal medyada bir uyarı yayımladı: Parekh, aynı anda birden fazla yerde çalışıyor, özgeçmişi %90 uydurma, “eski işverenler” listesinde Dynamo AI, Union AI, Synthesia, Alan AI gibi isimler var.

Paylaşım “patladı”; başka şirketler de “bizde de çalışmıştı” diyerek deneyimlerini anlattı. Lindy’nin kurucusu, “Mülakatta etkileyiciydi, bir hafta sonra kovduk” dedi. Fleet AI CEO’su ise “Yıllardır böyle yapıyor” yorumunu yaptı. Öte yandan bazı kullanıcılar, Parekh’le bizzat çalıştıklarını ve zor işleri hızla çözdüğünü iddia etti.

TBPN’ye verdiği röportajda Soham Parekh, bunu şirketleri aldatmak amacıyla yapmadığını söyledi. Yaptıklarından gurur duymadığını belirten Parekh, bu adımları açgözlülükten değil, içinde bulunduğu maddi sıkıntı nedeniyle attığını ifade etti.