Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Acil: GitHub Hesaplarıyla Saldırganlar Şirketleri Haritalıyor!
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Acil: GitHub Hesaplarıyla Saldırganlar Şirketleri Haritalıyor!

Siber Güvenlik

Acil: GitHub Hesaplarıyla Saldırganlar Şirketleri Haritalıyor!

teknomers
Son güncelleme: 9 Temmuz 2026 22:16
teknomers
Paylaş
Paylaş

Giriş

Datadog Security Labs, GitHub API’si aracılığıyla kurumsal organizasyonlar, depo ve kullanıcı hesaplarının sistematik olarak tarif edildiğini bildiren “birden fazla üst üste gelen kampanya” konusunda uyarıda bulundu. Bu durum, güvenlik açığı ve veri sızıntılarını artırarak kurumsal güvenliğe ciddi tehdit oluşturuyor.

Saldırı Nasıl Çalışıyor?

Operatörler, GitHub ‘da “hayalet” hesapları kullanarak, genellikle yıllardır aktif olmayan ya da ele geçirilmiş OAuth token’ları ve kişisel erişim token’ları (PAT) ile tespit çalışmaları yapmaktadır. Datadog güvenlik mühendisi Julie Agnes Sparks, “Operatörler, meşru görünen kullanıcı ajanlarını ve otomatik tarama araçlarını kullanarak saldırı gerçekleştiriyor” dedi.

Kampanya, genelde kamu verilerini hedef almasına rağmen, bazı durumlarda özel depoların başarılı bir şekilde kopyalanmasıyla da sonuçlanmıştır. Öne çıkan özelliklerden biri de, 50’den fazla uyku halinde hesap ve kişisel erişim token’larının (PAT) ifşa edildiği veya başka yollarla ele geçirildiği birçok meşru hesabın bir araya getirilmesidir.

Etkilenen Sistemler

“Hayalet” hesaplar, iki ila beş yıl önce oluşturulmuş olup, bu süre zarfında bilinçli olarak pasif bırakılmıştır. Bu hesapların kullanılması, API trafiğinin çoklu organizasyonlarda yayılmasını sağlamak için stratejik bir hamledir. Hedef, herhangi bir alarm vermeden legitim gibi görünen aktiviteler yaratmaktır.

GitHub API’sinin büyük bir kısmı, kimlik doğrulama gerektirmeden erişilebilir olduğundan, listeleme sorguları gerekli verileri sunmakta ve normal API kullanımında kaybolmaktadır. Öne çıkan bazı sorgulama çeşitleri şunlardır:

  • Bir organizasyonun kamuya açık depolarını listelemek
  • Bireysel kullanıcıların takipçi ve takip edilen listelerini incelemek
  • Gist, favori depolar ve organizasyon üyeliklerini listelemek
  • Kamuya açık nesneler üzerinde GraphQL sorgulamaları yapmak

Bu bilgiler, bir tehdit aktörünün hedef organizasyonun GitHub ile ilgili faaliyetlerini programatik olarak haritalandırmasını sağlar.

Çözüm ve Korunma

Veri erişiminin bazı senaryolarda doğrulandığı ve saldırganların tek bir organizasyona ait bir özel depoyu kopyalamaya yönelik adımlar attığı bildirilmiştir. “Bu talepler tek başına dikkate değer değil. Kamuya açık uç noktalara hitap etmekte, temiz bir şekilde kimlik doğrulaması yapılmakta ya da hiç yapılmamaktadır” diyen Datadog, endişenin toplu hareket eden hesaplardan kaynaklandığını vurgulamaktadır.

Sonuç

GitHub üzerinde güvenliğinizi sağlamak için aşağıdaki adımları izleyin:

  • PAT’leri ve OAuth token’larınızı düzenli olarak değiştirin.
  • GitHub ayarlarınızı gözden geçirerek izinleri sınırlandırın.
  • Eski veya kullanılmayan hesaplarınızı silin veya devre dışı bırakın.
  • API erişimlerinizi dikkatlice izleyin ve anormal aktiviteleri rapor edin.

Bu adımlar, potansiyel veri sızıntılarını ve saldırıları engelleyerek, kurumsal güvenliğinizi önemli ölçüde artıracaktır.

Sıfırıncı Gün Tespiti ve Bot Koruması Olan Açık Kaynak Web Uygulama Duvarı
Yeni Kötü Amaçlı Reklam Kampanyası, Kötü Amaçlı Yükleyicileri Dağıtmak İçin Sahte Windows Haber Portalını Kullanıyor
Microsoft, yüz tanıma sorunu çözüldükten sonra Windows 11 güncelleme engelini kaldırdı.
Lazarus Group, Enerji ve Sağlık Firmaları Konusunda İstihbarat Toplamak İçin Yeniden Yükseldi
Google, Kaliforniya’nın Konum Gizliliği Davasında 93 Milyon Dolarlık Uzlaşmayı Kabul Etti
ETİKETLENDİ:AcilGithubHaritalıyorhesaplarıylaSaldırganlarşirketleri
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Eski bir radyo parçasıyla ölü RTX 3070’i onaran baba, 120 dolar kazandırdı.
Sonraki Makale OpenAI, ChatGPT telif hakkı davasında delilleri gizledi mi?

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Nvidia GeForce Kart Serisi 1: Oyunlar ve GPU’lar için koleksiyon kartları
Donanım
Madison Square Garden’ın Gizli Ünlü Listesinde Kimler Var?
Genel
Google, hangi reklamların yapay zeka ile oluşturulduğunu açıklayacak
Yapay Zeka
Acil: Injective SDK’nın npm’de Kripto Para Cüzdanı Tehditi!
Siber Güvenlik
Meta kalabalık AI kodlama savaşına Muse Spark 1.1 ile katıldı
Genel
Acil: Yeni GigaWiper ile Gelen Tehlikeli Backdoor ve Casus Yazılımlar
Siber Güvenlik
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?