Geçen ay “klasik” siber vakalarla yine dolu doluydu: büyük bir sosyal ağda kişisel fotoğraf hırsızlığı, seyahat tarafında rezervasyon bilgilerine uzanan bir saldırı ve danışmanlık dünyasında “iki saatte neler olur” dedirten AI ajan testi… Buyurun, nisan ayının öne çıkan dosyaları.

BİR GÖZ ATTIM DEDİ, 30 BİN FOTOĞRAF GÖTÜRDÜ

Ne Oldu?

Meta’nın (Facebook) Londra ofisinde çalışan eski bir mühendis, Facebook kullanıcılarının kişisel sayfalarından 30.000+ görseli indirdi.

Nasıl Oldu?

Meta, bir süre önce mühendislerinin iş esnasında Facebook kullanıcılarının özel görsellerine eriştiğini fark etti. İddiaya göre ilgili çalışan, şirketin güvenlik kontrollerini aşmaya yardımcı olan bir program geliştirdi ve bu sayede kullanıcılara ait fotoğraflara ulaştı.

Şirket, etkilenen kullanıcıları bilgilendirdi, şüpheli çalışanı derhal işten çıkardı ve güvenlik sistemlerini güncelledi. Olayla ilgili bilgileri Londra siber suç birimine bizzat iletti; süreç şu an cezai soruşturma aşamasında.

ODA SERVİSİ

Ne Oldu?

Saldırganlar Booking.com’un iç sistemlerine girerek, kullanıcıların hesaplarındaki rezervasyon bilgilerine erişti.

Nasıl Oldu?

Booking.com, iç sistemlerine yetkisiz giriş tespit etti. İncelemede saldırganların rezervasyon detaylarını, kullanıcı rumuzlarını ve gerçek adlarını, e-posta ve fiziksel adreslerini, rezervasyona bağlı telefon numaralarını ve benzeri bilgileri görebilmiş olabileceği belirtildi.

Şirket, etkilenen rezervasyonların PIN kodlarını yeniledi ve kullanıcıları olay hakkında bilgilendirdi. Kaç kişinin etkilendiği açıklanmadı; ancak Booking.com, saldırganların finansal bilgilere erişemediğini ekledi.

ACI TECRÜBE

Ne Oldu?

Hong Kong’da bir hastane, 65 binden fazla hastaya ilişkin verilerin sızmasıyla gündeme geldi.

Nasıl Oldu?

Nisan başında Hong Kong Sağlık İdaresi’nin izleme sistemleri, Kowloon East bölgesindeki (şehrin büyük bölgelerinden biri) tıbbi kayıtlarla ilgili bir sızıntıyı fark etti.

Polisin siber güvenlik birimi soruşturdu ve olayın bir “dış saldırıdan” çok, yüklenici tarafındaki teknik personel üzerinden gerçekleştiği anlaşıldı. Bu yüklenici, ameliyathanelerdeki ekipmanların işleyişini sağlayan sistemi destekliyordu; dolayısıyla altyapısında ameliyat süreçlerine ilişkin bilgiler bulunuyordu: hasta adları, kimlik numaraları, hastane kartı numaraları ve yapılan işlemlere dair ayrıntılar. Sızan da tam olarak bu veriler oldu.

Polis, yüklenicinin 60’tan fazla dijital cihazına (sunucular ve cep telefonları dahil) el koydu. Sızıntının, şirketin iki uzak şubesinin yönettiği depolardan çıktığı; ilgili çalışanın erişimini kullanıp sisteme girerek verileri indirip üçüncü taraf kaynaklara sızdırdığı tespit edildi. Şüpheli tutuklandı; yüklenicinin Sağlık İdaresi sistemlerine erişimi soruşturma bitene kadar kapatıldı. Kişisel veri otoritesi, hastaları bilgilendirdi ve talepler için bir destek hattı kurdu.

ŞİFRE YOK, YETKİ ÇOK, VERİ BOL

Ne Oldu?

Beyaz şapkalı hacker’lar, McKinsey’nin kurumsal AI platformu Lilli üzerinde kontrollü bir testte, “sistem filtrelerini” aşan bir AI ajanla kapsamlı erişim senaryosunu gösterdi.

Nasıl Oldu?

CodeWallAI ekibi, saldırgan amaçlı bir AI ajan kullanarak Lilli’ye derinlemesine sızma testi yaptı. Önce platforma bağlı 200+ API uç noktasına dair detaylı dokümantasyonun açıkta olduğunu buldular. Bu uç noktalardan 22’sine ise yetkilendirme olmadan erişilebiliyordu; yani kimlik doğrulama yoktu, “şifreyle korunuyor” bile denemeyecek seviyede.

Ardından ajan, bu korumasız uçlardan birinin veritabanına girdi ve Lilli’ye yapılan kullanıcı sorgularının tutulduğunu gördü. Hücre içerikleri korumalı olsa da alan adları JSON üzerinden SQL’e “olduğu gibi” gömülüyordu: klasik bir SQL enjeksiyonu penceresi. Üstelik kurum içi standart tarayıcının kaçırdığı bir zayıflık. Hata mesajları üzerinden alan adları dönünce, ajan 15 denemede sorgu yapısını toparlayıp asıl verilere erişti; yani model, klasik araçların dahi yakalayamayabileceği zayıf noktayı yakaladı.

Sonra iş daha da derinleşti: prompt injection ve RAG manipülasyonları ile asistanın sistem kısıtları aşıldı. Modelin verilere gereğinden fazla yetkiyle eriştiği ortaya çıktı. Platform eklentilerindeki zafiyetlerle SSRF (sunucu adına istek sahteciliği) mümkün oldu; böylece bulut altyapı metadatasına ve erişim anahtarlarına doğrudan erişim senaryosu gösterildi.

En çarpıcı kısım: Ajan, iki saat içinde ve parola gerektirmeden McKinsey’nin üretim veritabanına okuma-yazma erişimi aldığını gösterdi. Test boyunca toplanan veri büyüklüğü de “sadece demo” demeyecek kadar netti: 46,5 milyon sohbet mesajı, 728 bin dosya (192 bin PDF, 93 bin Excel, 93 bin PowerPoint, 58 bin Word), 57 bin kullanıcı hesabı, 384 bin AI yardımcısı ve 94 bin çalışma alanı.

Bu saldırı kontrollüydü: gerçek finansal zarar oluşmadı, veri dark web’e taşınmadı. Ama McKinsey’nin dünya genelindeki stratejik dokümanları, iç analizleri ve müşteri gizliliği barındıran içeriklerin teorik olarak çekilebileceği ispatlandı. Üretim servislerinde kesinti yaşanmadı; bulgular güvenlik ekibine iletildi ve açıklar kapatıldı. Çalışma, sorumlu açıklama prensipleriyle yürütüldü.

SAHTE HESAPLAR, GERÇEK PARALAR

Ne Oldu?

Delhi’de bir banka çalışanı, siber dolandırıcılarla iş birliği yaparak sahte hesaplar açtı; bu hesaplar mağdurları dolandırmakta kullanıldı.

Nasıl Oldu?

Olay Ekim 2023’e uzanıyor: Dwarka siber polis birimine, SBI hesabından 88 bin rupi (yaklaşık 40 bin lira) izinsiz çekim yapıldığına dair başvuru geldi. Para izlenince özel bir banka olan RBL’ye ulaşıldı; şüpheli müşteri temsilcisi de burada çalışıyordu.
İddiaya göre çalışan, komisyon karşılığında sahte belgelerle hesaplar açtı; dolandırıcılar da bu hesapları para akışında kullandı. Şüpheli yakalanıp tutuklandı. Bu dosyada daha önce dört kişi zaten gözaltına alınmıştı.

Şema tanıdık: Sosyal medya üzerinden “iş fırsatı” diye yaklaş, önce küçük ödeme yaparak güven kazan, sonra mağduru daha büyük meblağları “geri göndermeye” ikna et; ardından parayı sahte hesaplardan çek ve mağduru engelle. Bazı mağdurlar bu yöntemle milyonlarca rupi kaybetti.

Soruşturma sürüyor; Merkez Büro (CBI) ölçeği ve “asıl talimatı verenleri” netleştirmeye çalışıyor. Vakanın tekil olmadığı düşünülüyor; hatta daha önce benzer biçimde banka çalışanlarını rüşvetle hesap açtırmaya yönelten başka bir dosyayla aynı zincirin halkaları olabileceği not düşülüyor. 

700 BİN STERLİN YANLIŞ HESABA

Ne Oldu?

İngiliz petrol-gaz şirketi Zephyr Energy plc, bir siber saldırı nedeniyle yaklaşık 700 bin sterlin (yaklaşık 938 bin dolar) kaybetti.

Nasıl Oldu?

Olay, şirketin ABD’deki bir biriminde yaşandı. Yükleniciye ödeme yapılırken saldırganlar ödeme zincirine müdahale edip yönlendirmeyi değiştirerek parayı kontrol ettikleri hesaba aktardı. Zephyr, yöntem detayını paylaşmadı; “yüksek teknolojili” bir saldırı olduğunu belirtti. Medyada, bunun büyük ihtimalle bir BEC senaryosu olduğu; saldırganların ödeme alıcısının e-postasını ele geçirip son anda banka bilgilerini değiştirerek şirketin ödemeyi kendi eliyle yanlış hesaba gönderdiği değerlendirmesi yapıldı.

Şirket, sorunu hemen fark etmedi; fark edince polise başvurdu. Ardından tehdidi giderdiklerini, ek güvenlik önlemleri aldıklarını ve parayı geri almak için bankalarla ve danışmanlarla çalıştıklarını duyurdu. Ayrıca olayın ana sistemlere ve operasyonel faaliyetlere etkisi olmadığını ekledi.