Siber Günlük: GitHub Token Sızıntısı, Aşk Tuzağı ve Kurnaz Pazarlamacı

Bu ay da ilginç ve ders çıkarılacak bilgi güvenliği olaylarıyla karşınızdayız. Mayıs sayısında: girişimci bir pazarlamacı, sızan bir GitHub token’ı, ustaca kurgulanmış bir BEC saldırısı ve bir şirkete yüz binlerce dolara mal olan çevrim içi aşk hikâyesi var. 

Veri Taşkını

Ne Oldu? 

Birleşik Krallık’ta bir kamu hizmeti şirketi, oltalama saldırısının ardından yaşanan kişisel veri sızıntısı nedeniyle 900 bin sterlinden fazla (yaklaşık 1,3 milyon dolar) para cezasına çarptırıldı. Olay neredeyse iki yıl boyunca fark edilmedi. 

Nasıl Oldu? 

2022 yılında, Birleşik Krallık’ın dörtte birine içme suyu sağlayan ve su şebekelerini işleten South Staffordshire Water Plc’ye ait veriler internete sızdı. Siber saldırının sorumluluğunu Cl0p adlı hacker grubu üstlendi. Sızan veriler arasında ad-soyad bilgileri, adresler, e-posta adresleri, telefon numaraları, doğum tarihleri, müşteri hesap bilgileri, banka bilgileri ve çalışanlara ait veriler yer aldı. 

Bilgi Komiserliği Ofisi (ICO) uzmanları olayla ilgili bir soruşturma yürüttü ve siber suçluların South Staffordshire Water Plc’nin BT sistemlerine aslında 2020 yılında erişim sağladığını ortaya çıkardı. Şirkete sızma, hacker’ların South Staffordshire Water’ın BT sistemlerine zararlı yazılım yüklemesine imkân tanıyan bir oltalama saldırısıyla gerçekleşti. Zararlı yazılım 20 ay boyunca fark edilmeden sistemde kaldı.

Mayıs-Temmuz 2022 döneminde saldırganlar, su tedarikçisinin ağındaki yetkilerini yükseltti ve alan adı yönetimine erişim sağladı. South Staffordshire Water uzmanları olayı ancak Temmuz 2022’de, BT sistemlerinden birindeki performans sorunları nedeniyle başlattıkları inceleme sonucunda tespit etti.

ICO, South Staffordshire Water’daki ciddi bilgi güvenliği eksikliklerinin, müşteri ve çalışan verilerini neredeyse iki yıl boyunca sızıntıya açık hâle getirdiğini belirledi. ICO uzmanlarının şirkette tespit ettiği ihlaller arasında yetki yükseltme süreçlerinde yetersiz kontrol, eski yazılım kullanımı (örn. Windows Server 2003), güncellemelerin yapılmaması, etkisiz zafiyet yönetimi ve düzenli iç ve dış güvenlik denetimlerinin bulunmaması yer aldı. Ayrıca bilgi güvenliği izlemesinin kurumun BT altyapısının yalnızca yüzde 5’ini kapsadığı tespit edildi.

Gençlerin BEC Oyunu

Ne Oldu? 

Gençler, BEC saldırısı yoluyla ABD merkezli bir para transfer sisteminden 2,89 milyon dolar çaldı. 

Nasıl Oldu? 

Polise göre 19 yaşındaki iki genç ve 16 yaşındaki bir genç, Malezyalı bir hacker grubu ile iş birliği yaptı. Hacker’lar, BEC saldırısında kullanılmak üzere paravan şirketler kurmalarına yardım etti. Gençler ayrıca çalınan parayı aktarmak için Singapurlu finans kuruluşu DBS’te kurumsal banka hesapları açtı.

Girişimci gençler, e-posta yoluyla kimliği açıklanmayan ABD merkezli para transfer sistemi çalışanlarını 2,89 milyon doları paravan kurumsal hesaplardan birine göndermeye ikna etti. Ancak hesaptan para çekme girişimi DBS çalışanlarının dikkatini çekti ve kurum durumu polise bildirdi. Singapur Polisi Dolandırıcılıkla Mücadele Birimi, Interpol ile iletişime geçti. Interpol de ABD’deki göndericiye dolandırıcıların kurbanı olduğunu bildirdi.

Polis saldırının ayrıntılarını paylaşmadı; ancak olayın, şirket yöneticilerinin, çalışanlarının veya bilinen tedarikçilerinin kurumsal e-posta hesaplarının ele geçirilmesiyle bağlantılı olduğu tahmin ediliyor.

Gençler gözaltına alındı. Suçlu bulunmaları hâlinde 10 yıla kadar hapis cezası, 500 bin dolar para cezası veya her ikisiyle karşı karşıya kalabilirler. Çevrim içi dolandırıcılar, dolandırıcılık şebekelerinin üyeleri veya bu şebekeler için eleman toplayan kişiler için ayrıca zorunlu bedensel ceza da öngörülüyor: en az 6, en fazla 24 kırbaç darbesi.

Bir Token’la Gelen Sızıntı

Ne Oldu? 

Hacker’lar, Grafana Labs platformunun GitHub altyapısına sızarak kod tabanlarını çaldı. 

Nasıl Oldu? 

Saldırganlar, Grafana Labs’in GitHub ortamına erişim sağlayan ele geçirilmiş bir erişim token’ını kullandı ve kod tabanının içeriğini çaldı. Platform uzmanları, token’ın ele geçirilmesine yol açan kimlik bilgisi sızıntısının kaynağını belirledi. Grafana Labs, ele geçirilen token’ları derhâl iptal etti ve BT altyapısına ek güvenlik önlemleri uyguladı.

Saldırının sorumluluğunu CoinbaseCartel adlı grup üstlendi. Saldırı sonrasında tehdit aktörleri Grafana Labs’e şantaj yaptı ve çalınan verilerin ifşa edilmemesi karşılığında fidye talep etti. Ancak mağdur şirket fidye ödemeyi reddetti.

İlk soruşturma, olay sonucunda müşteri ve kullanıcı verilerinin etkilenmediğini gösterdi. Şirket, hangi depoların çalındığını açıklamadı. Ancak The Register’ın haberine göre hacker’lar özel mülkiyetli koda da erişmiş olabilir. Grafana Labs soruşturmayı sürdürüyor.

İş İlişkileri

Ne Oldu? 

New Yorklu bir kişi, çevrim içi aşk tuzağına kapılarak bir şirketin 212 bin dolar dolandırmasına yardım etti.

Nasıl Oldu? 

High Point Cattle Company’de çalışan bir kadın, şirketin yüklenicisi Lewiston Sales’ten geldiği izlenimi veren ve banka bilgilerinin değiştiğini bildiren bir e-posta aldı. Çalışan dolandırıcılığı fark etmedi ve toplam 212.685,75 dolar tutarında iki banka transferi gerçekleştirdi. Ancak birkaç gün sonra Lewiston’dan gerçek bir çalışan şirketle iletişime geçti ve paranın kendilerine ulaşmadığını bildirdi. Yüklenicinin aslında banka bilgilerini değiştirmediği ve böyle bir e-posta göndermediği ortaya çıktı.

High Point Cattle Company dolandırıcılığı polise bildirdi. Soruşturma, sahte e-postayı gönderen adresin Lewiston çalışanlarından birine ait gerçek e-posta adresine neredeyse birebir benzediğini gösterdi. Tek fark, gerçek adresteki “m” harfinin sahte adreste “r” ve “n” harfleriyle değiştirilmiş olmasıydı. Yan yana duran “r” ve “n” harfleri “m” gibi göründüğü için çalışan dolandırıcılığı fark etmedi.

Polis, High Point Cattle Company’nin parasının New York’ta yaşayan Michael McPherson adlı kişiye ait çeşitli hesaplara aktarıldığını tespit etti. Müfettişler Michael ile iletişime geçti. Michael, söz konusu banka hesaplarının kendisine ait olduğunu kabul etti; ancak bu hesapları, sözde bir arkadaşlık sitesinde tanıştığı bir kadına büyük bir mirasın transferinde yardımcı olmak için açtığını söyledi.

McPherson, yeni tanıdığı kadının yönlendirmesiyle Bank of America, Chase, Discover, Cross Rivers Bank ve US Bank’ta kişisel banka hesapları açtığını itiraf etti. Ayrıca kadının, MCP Energy LLC adlı hayali bir şirket kurmasına da yardım ettiğini anlattı. Hesaplarına gelen paraları ise kadının talebi üzerine başka hesaplara aktarıyor veya ATM’lerden nakit olarak çekiyordu.
McPherson, çevrim içi gönül ilişkisi yaşadığı bu kişiyle hiç yüz yüze görüşmedi. Buna rağmen romantik ilişki zamanla “iş ilişkisine” dönüştü. Hesap açması ve kadının talimatlarını yerine getirmesi karşılığında Michael bir otomobil aldı (ikinci el de olsa), kredi kartı borçlarını kapattı, yeni kıyafetler ve yeni gözlükler satın aldı.

Polise verdiği ifadede, kadının davranışlarının kendisine şüpheli geldiğini kabul etti. Ancak işler fazla ilerledikten sonra iletişimi kesemediğini; artık suça ortak olduğunu anladığını ve cezadan nasıl kaçabileceğini bilmediğini söyledi. McPherson’ın davasındaki ilk duruşma 8 Temmuz’da yapılacak. İnternetteki gizemli kadının bulunup bulunmadığı (hatta gerçekten var olup olmadığı) ise belirsiz. High Point Cattle Company dolandırıcılığıyla ilgili olarak şu ana kadar herhangi bir kadına suçlama yöneltilmedi.

Hacker’lar Daha İyi Bilir

Ne Oldu? 

Perakende zinciri 7-Eleven, bir siber saldırı sonucunda veri sızıntısıyla karşı karşıya kaldı. 

Nasıl Oldu? 

Büyük market zinciri, ilkbaharda bir hacker grubunun gizli verilerine erişim sağladığını doğruladı. Bu durum, şirkette franchise sahiplerine ait belgelerin saklanması için kullanılan bir BT sisteminin ele geçirilmesinin ardından yaşandı.

7-Eleven uzmanları, altyapılarındaki şüpheli aktiviteyi 9 Nisan’da tespit etti ve olayı önlemek için derhâl gerekli adımları attı. Şirket ayrıca, olayın müşteriler ve iş ortakları için yaratabileceği her türlü rahatsızlık nedeniyle şimdiden özür diledi.

7-Eleven, soruşturmanın ayrıntılarını veya veri sızıntısından etkilenen kişi sayısını açıklamadı. Ancak olayın sorumluluğunu üstlenen hacker grubu ShinyHunters, şirketin Salesforce kurumsal ortamını ele geçirdiklerini ve 7-Eleven’a ait kişisel veriler ile kurumsal bilgiler içeren 600 binden fazla kaydı çaldıklarını iddia etti.

Sızıntı iddiasından bir haftadan kısa süre sonra ShinyHunters, darknet’te 9,4 GB büyüklüğünde bir belge arşivi yayımladı. 7-Eleven daha önce veriler için fidye ödemeyi reddetmişti.

Reklam Bütçesi

Ne Oldu? 

Hollywood merkezli Hot Gold Fish Corporation’ın pazarlama departmanında çalışan bir kişi, işverenini 63 bin dolar dolandırdı.

Nasıl Oldu? 

George Louis Leyva, pop-art tarzında portreler üreten Hot Gold Fish Corporation’ın pazarlama departmanında işe başladı. İşe girdikten kısa süre sonra şirket projeleri için birkaç pazarlama ajansını yüklenici olarak seçti ve bu ajanslarla on binlerce dolarlık sözleşmeler imzaladı.

Daha sonra işveren, Leyva’nın seçtiği tüm pazarlama ajanslarının aslında kendisine ait olduğunu ve bu yöntemle Hot Gold Fish Corporation’dan ödemeleri bizzat aldığını ortaya çıkardı. Toplamda şirketi 63 bin dolar dolandırdı. Şirket durumu polise bildirdi.

Hot Gold Fish Corporation tarafı, Leyva’nın söz konusu ajansları daha önce onlarla çalıştığını söyleyerek önerdiğini, ancak ajansların sahibi olduğunu gizlediğini belirtiyor. Şirket temsilcilerine göre yürütülen iç soruşturmada, eski çalışanın işverenin fikrî mülkiyetini kopyalamaya çalıştığı da ortaya çıktı.

Leyva’nın, Hot Gold Fish’e ait görsellerin kopyalarını oluşturduğu ve hatta şirketin resmî web sitesine benzeyen bir site hazırladığı iddia edildi. Olay ortaya çıkıp işten çıkarıldığında ise sahte siteyi sildi. Belki de bu durum – elbette polis soruşturmasıyla birlikte – Leyva’nın potansiyel bir sonraki işverenini “sahte Hot Gold Fish” kılığındaki yeni bir “yükleniciden” korumuş oldu.