Şubat ayının en dikkat çeken güvenlik olaylarını paylaşıyoruz. Kışın son ayında BT ve siber güvenlik dünyasında neler konuşuldu, hepsini derledik: sızıntılara kesilen dev cezalar, kripto hırsızlıkları, korumasız bırakılan bulut ortamları, oltalama saldırılarının yeni altın çağı ve daha fazlası… Çaylarınız hazırsa başlayalım.

SUÇLU  BULUNDU: ESKİ MÜHENDİS, ESKİ ANAHTAR

Ne Oldu?

Güney Koreli e-ticaret pazar yeri Coupang'da yapılan bir yönetim hatası, 33,7 milyon müşterinin verilerinin sızmasına neden oldu.

Nasıl Oldu?

Aralık 2025'te Coupang'ın, ülke nüfusunun neredeyse üçte ikisini etkileyen bir bilgi güvenliği olayıyla karşı karşıya kaldığı öğrenildi. Saldırgan, hesaplara erişmek için kullanıcı kimlik doğrulamasındaki güvenlik açıklarından yararlandı. Sızıntı sonucunda saldırgan; müşterilerin isimlerine, e-posta adreslerine, ev adreslerine ve telefon numaralarına erişim sağladı. Pazar yeri temsilcilerinin garantisine göre, siparişlerin ödenmesinde kullanılan banka kartı ve hesap numaraları ile kullanıcıların kimlik bilgileri etkilenmedi. 

Olayın Haziran ayından itibaren geliştiği ve Coupang'ın bu konuda Güney Koreli yetkililere ancak Kasım ayında rapor verdiği ortaya çıktı. Sızıntının devasa boyutu nedeniyle sorun en üst düzeyde dikkat çekti. Güney Kore Cumhurbaşkanı, Coupang uzmanlarının beş ay boyunca veri sızıntısını tespit edememiş olmasına tepki gösterdi. Ülkenin Başbakanı, hükümetin bir soruşturma yürüteceğini ve şirketin yasaları ihlal ettiğinin tespit edilmesi halinde şirkete karşı sert önlemler alınacağını belirtti. Bunun üzerine şirketin CEO'su Park Dae Joon, büyük çaplı veri sızıntısı için kişisel sorumluluk üstlenerek istifa etti.

Soruşturma sonucunda uzmanlar sızıntının Coupang çalışanlarının yönetim hatalarından kaynaklandığını tespit etti. Şirketin eski bir mühendisinin kimlik doğrulama sürecindeki eksiklikleri bildiği ve sistemi hacklediği ortaya çıktı. Bu çalışan, kimlik doğrulama sisteminin parçalarını geliştirip devreye almıştı, ancak işten çıkarılmasının ardından Coupang onun imza anahtarını iptal etmedi. Sonuç olarak, eski mühendis işten çıkarıldıktan sonra neredeyse bir yıl boyunca Coupang sistemine giriş yapmak için sahte token’ler oluşturdu.

Polis ayrıca şirketi bazı verileri silmek ve soruşturmayı "kısıtlamaya" çalışmakla suçluyor. Coupang, erişim log’larının otomatik olarak saklanması politikasını düzelterek, web sitesine yaklaşık beş aylık erişim kayıtlarının silinmesine neden oldu.

Soruşturma halen devam ediyor, ancak Coupang şirketi şimdiden bir vergi denetimiyle ve ülke parlamentosunun kurucusu ve eski yöneticileri hakkında 2025'teki parlamento oturumlarına katılmamaları nedeniyle açtığı bir dava ile karşı karşıya kaldı.

BÜYÜK ŞANS

Ne Oldu?

Hackerlar, Step Finance DeFi platformunun bir yöneticisinin cihazını ele geçirerek 40 milyon dolar değerinde kripto varlık çaldı.

Nasıl Oldu?

Ocak ayında Step Finance platformu uzmanları şüpheli işlemler tespit etti ve birkaç saat içinde veri sızıntısını doğruladı. Olay, platformun mali durumunu ve kullanıcı fonlarını etkiledi; Step Finance operasyonlarının bir kısmını durdurmak zorunda kaldı. Platform temsilcileri, üst düzey yöneticilerinden birinin sosyal mühendislik kullanılan karmaşık bir saldırının hedefi olduğunu ve saldırganların onun kişisel cihazına erişerek kripto varlıklarını çaldığını açıkladı.

Olayın tespit edilmesinden yaklaşık 6 saat sonra Step Finance kolluk kuvvetlerine başvurdu ve soruşturmaya üçüncü taraf siber güvenlik uzmanlarını dahil etti. Şubat ayında olayın detayları ortaya çıktı. Soruşturma, saldırı başlamadan önce saldırganların platform çalışanları hakkında açık kaynaklardan detaylı bilgi topladığını gösterdi. Ardından, meşru iş yazışmaları kılığına gizlenmiş hedefli oltalama (phishing) kampanyaları düzenlediler. Üst düzey yöneticilerden biri oltalama girişimini fark etmedi ve sonucunda cihazı ele geçirildi. Cihazda, saldırganların platformun birkaç güvenlik katmanını aşmasına ve kripto varlıklarını ele geçirmesine yardımcı olan kritik kimlik doğrulama verileri bulunuyordu. Çalınan paranın bir kısmı daha sonra geri alınabildi (yaklaşık 4,7 milyon dolar).

MİLYONLUK BİR OLAY

Ne Oldu?

Fintech şirketi Betterment, 1,4 milyon kullanıcı hesabını etkileyen bir veri sızıntısıyla karşı karşıya kaldı.

Nasıl Oldu?

Betterment, yaklaşık bir milyon müşteriye ait toplam 65 milyar dolar değerinde varlığı yöneten bir finansal teknoloji şirketidir. 9 Ocak’ta saldırganlar, şirketin pazarlama faaliyetleri için kullandığı bir platforma erişim sağladı. Saldırının tüm aşamalarında sosyal mühendislik yöntemleri kullanıldı: önce platforma erişim elde etmek, ardından da şirket müşterilerini hedef almak için.

Saldırganlar, Betterment’in yatırım fırsatları sunuyormuş gibi görünen ve yatırımı üç katına çıkarma vaadi içeren oltalama (phishing) e-postaları gönderdi. Bu e-postalar şirketin meşru bir alt alan adından gönderildiği için oldukça ikna edici görünüyordu. 10 Ocak’ta Betterment olayı doğruladığını açıkladı ve müşterilerini dolandırıcılık girişimi konusunda uyardı. Şirket açıklamasında, saldırganların iç platforma erişiminin kesildiğini ve teknik altyapının etkilenmediğini belirtti. Ayrıca fintech şirketi, CrowdStrike uzmanlarıyla birlikte yürütülen inceleme sonucunda hiçbir müşteri hesabının ele geçirilmediğini düşündüklerini ifade etti.

Ancak şubat ayında ortaya çıkan yeni bilgiler, saldırganın ele geçirilen sistemde depolanan bazı müşteri verilerine erişmiş olabileceğini gösterdi. Veri ihlali bildirim hizmeti olan Have I Been Pwned uzmanları, sızdırılan verileri analiz ederek olayın 1.435.174 kullanıcı hesabını etkileyebileceğini açıkladı. Sızan bilgiler arasında e-posta adresleri, isimler, konum verileri, doğum tarihleri, fiziksel adresler, telefon numaraları, cihaz bilgileri, işveren konumu ve kullanıcıların görev bilgileri yer alıyor. Betterment şu anda olayla ilgili ikinci bir inceleme yürütüyor ve daha ayrıntılı bir rapor yayımlamayı planladığını belirtiyor.

BİR HATA OLMUŞ

Ne Oldu?

Abu Dabi’de aralık ayında düzenlenen finans forumunun organizatörleri, katılımcıların kişisel verilerini yanlışlıkla açığa çıkardı. Sızdırılan bilgiler arasında milyarderlerin, kripto borsası yöneticilerinin ve Birleşik Krallık’ın eski başbakanının pasaport verileri de bulunuyordu.

Nasıl Oldu?

Veri sızıntısı, güvenlik araştırmacısı Roni Suchowski tarafından tespit edildi. Araştırmaya göre, Abu Dhabi Finance Week (ADFW) yatırım konferansıyla bağlantılı korumasız bir bulut depolama alanında 700’den fazla pasaport ve resmi kimlik belgesinin taranmış kopyaları saklanıyordu. Bu belgeler, internet tarayıcısı kullanan herkes tarafından erişilebilir durumdaydı. Erişime açık olan belgeler arasında tanınmış iş insanlarının yanı sıra Amerikalı bir yatırımcı ve Beyaz Saray’ın eski iletişim müdürüne ait kimlik belgeleri de yer alıyordu.

ADFW yetkilileri, verilerin saklandığı sistemde bir güvenlik açığı bulunduğunu doğruladı ve söz konusu altyapının üçüncü taraf bir yüklenici tarafından yönetildiğini belirtti. Organizasyon temsilcileri, verilere yalnızca olayı tespit eden araştırmacının eriştiğini öne sürdü.

Ancak Roni Suchowski’nin açıklamasına göre, veriler herhangi bir web tarayıcısı kullanan herkes tarafından görüntülenebilecek durumdaydı. Araştırmacının olayı bildirmesinin ardından ADFW sunucuyu ancak bu yılın 16 Şubat tarihinde güvence altına alabildi.

HERKESE CEZA

Ne Oldu?

Louis Vuitton, Dior ve Tiffany markaları veri sızıntısı nedeniyle toplam 25 milyon dolar para cezası ödeyecek.

Nasıl Oldu?

2025 yılında, Louis Vuitton Moët Hennessy (LVMH) grubuna bağlı bu üç marka farklı güvenlik ihlalleri yaşadı. Toplamda 5,5 milyondan fazla müşterinin verileri etkilendi. Saldırganlar, müşteri yönetimi için kullanılan bulut tabanlı bir hizmete erişim sağlayarak müşteri isimleri, telefon numaraları, e-posta adresleri, posta adresleri ve satın alma geçmişi gibi bilgileri ele geçirdi.

Güney Kore Kişisel Verileri Koruma Komisyonu (PIPC) olayla ilgili bir rapor yayımladı. Louis Vuitton vakasında, veri ihlali bir çalışanın cihazının kötü amaçlı yazılım bulaşması sonucu gerçekleşti. Bu durum şirketin bir hizmetinin ele geçirilmesine ve 3,6 milyon müşterinin verilerinin sızmasına yol açtı. PIPC’ye göre Louis Vuitton kişisel verileri yeterince koruyamadı ve bu nedenle saldırının hedefi oldu. Regülatör şirketi 16,4 milyon dolar para cezasına çarptırdı ve bu cezanın şirketin web sitesinde duyurulmasını zorunlu kıldı.

Dior’da ise saldırı, müşteri destek ekibindeki bir çalışana yönelik oltalama (phishing) saldırısı sonucu gerçekleşti. Saldırganlar çalışanı kandırarak SaaS tabanlı sisteme erişim sağladı ve bunun sonucunda 1,95 milyon müşterinin verileri sızdırıldı. Şirketin 2020’den beri kullandığı SaaS sisteminde izinli kullanıcı listeleri uygulanmamış, toplu veri indirme için sınırlamalar konulmamış ve erişim kayıtları düzenli olarak kontrol edilmemişti. Bu eksiklikler ihlalin tespit edilmesini üç aydan fazla geciktirdi.

Tiffany’de yaşanan olay da benzer şekilde gerçekleşti. Saldırganlar bu kez sesli oltalama (vishing) yöntemi kullanarak müşteri destek çalışanını kandırdı ve SaaS sistemine erişim elde etti. Bu olayda 4600 müşterinin verileri risk altına girdi.

Bu olay, sosyal mühendislik saldırılarının nasıl çalıştığını ve insan faktörünün saldırganlar için ne kadar kritik bir zafiyet oluşturduğunu açıkça gösteriyor. Bu nedenle çalışanların dijital güvenlik farkındalığını ve siber güvenlik okuryazarlığını düzenli olarak artırmak büyük önem taşıyor.

Regülatör, şirketleri gerekli güvenlik önlemlerini uygulamamakla suçladı. Sonuç olarak Louis Vuitton, Christian Dior Couture ve Tiffany şirketleri toplam 25 milyon dolar para cezası ödemekle yükümlü kılındı.

GÖZDEN KAÇIRDILAR

Ne Oldu?

Hackerlar, Hollanda’nın en büyük mobil operatörlerinden biri olan Odido’yu oltalama (phishing) saldırısı yoluyla hedef aldı.

Nasıl Oldu?

Odido’nun destek ekibi çalışanları sahte e-postalar aldı. Teknik destek ekibi bu mesajların oltalama olduğunu fark edemedi ve bunun sonucunda saldırganlar çalışanların hesap parolalarını ele geçirdi.

Daha sonra saldırganlar çalışanları telefonla arayarak kendilerini Odido’nun BT departmanı çalışanları olarak tanıttı ve sistemdeki sahte bir giriş talebini onaylamaları için onları ikna etti. Böylece hackerlar çalışan hesaplarını kullanarak operatörün müşteri verilerinin saklandığı Salesforce sistemine erişim sağladı.

Siber güvenlik uzmanları, saldırganların tüm veri tabanını indirmeyi büyük olasılıkla başaramadığını düşünüyor. Odido şu anda olayla ilgili iç soruşturma yürütüyor. Şirket, ihlalin tam olarak ne kadar veriyi etkilediğini henüz açıklamadı; ancak yaklaşık 6,2 milyon mevcut ve eski müşteriyi, verilerinin saldırganların eline geçmiş olabileceği konusunda uyardı. Şirket ayrıca olayı Hollanda Veri Koruma Kurumu’na da bildirdi.

BELKİ KİMSE FARK ETMEZ

Ne Oldu?

Bolton Belediye Meclisi’nin eski bir çalışanı, belediyeye ait sosyal yardım fonlarından yaklaşık 900 bin sterlin zimmetine geçirdi.

Nasıl Oldu?

Richard Shaw, Bolton Belediye Meclisi’nin finansal koruma biriminde muhasebe işleriyle ilgileniyordu. 2023 yılında çeşitli ihlaller nedeniyle önce görevden uzaklaştırıldı, daha sonra ise dolandırıcılık şüphesiyle işten çıkarıldı.

Uzun süren soruşturma sonucunda Shaw’un 2015–2023 yılları arasında sosyal yardım alan vatandaşlara ait hesaplardan kendi hesabına toplam 893.296 sterlin transfer ettiği ortaya çıktı. Eski çalışan ayrıca dolandırıcılığın izlerini gizlemek amacıyla vatandaşların hesapları arasında da para transferleri yapıyordu.

Soruşturma sırasında Shaw’un çaldığı paranın 100 bin sterlinini bir tatil evi satın almak için, yaklaşık 18 bin sterlinini ise bahçe düzenlemesi için harcadığı belirlendi. Polis tarafından yapılan aramada Shaw’un evinde iki adet BMW marka araç ve başka değerli eşyalar da ele geçirildi.

Başlangıçta görevini kötüye kullanarak dolandırıcılık yaptığı yönündeki suçlamaları reddeden Shaw, Aralık 2025’te suçunu kabul etti. Bunun sonucunda Şubat ayında eski belediye çalışanı 4 yıl 8 ay hapis cezasına çarptırıldı.