Google ve Sahte Hesap Skandalı
Son günlerde, Google‘ın Hukuk Uygulama Talep Sistemi‘nde (LERS) sahte bir hesabın oluşturulduğu haberleri gündeme geldi. Bu sistem, yasadışı taleplerini resmi yollarla sunmak için kolluk kuvvetleri tarafından kullanılmaktadır. Google, Olayın farkına vardıktan sonra, bu sahte hesabın devre dışı bırakıldığını açıkladı. Şirketin yaptığı açıklamada, “Bu yanlış bir hesap oluşturuldu ve kapatıldı. Ancak bu hesap üzerinden hiçbir talep yapılmadı ve hiçbir veri erişimi gerçekleşmedi,” dedi.
Saldı Grubunun İddiaları
Bu açıklama, kendilerini “Scattered Lapsus$ Hunters” olarak adlandıran bir grup tehdit aktörünün, Telegram üzerinden Google’ın LERS portalına ve FBI‘nın eCheck arka plan kontrol sistemine erişim sağladıklarını iddia etmesinin ardından geldi. Bu grup, Perşembe günü yaptıkları açıklamadan kısa bir süre sonra, ekran görüntülerini paylaşarak erişim sağladıklarını duyurdular.
Bu durum, hem LERS’in hem de FBI’ın eCheck sisteminin, dünya genelindeki polis ve istihbarat ajansları tarafından subpoenalar, mahkeme emirleri ve acil veri açıklama talepleri için kullanıldığı göz önüne alındığında, büyük bir endişe yarattı. Yetkisiz erişim, saldırganların yasadışı olarak kolluk kuvvetlerini taklit etmelerine ve normalde korunması gereken hassas kullanıcı verilerine erişim sağlamalarına olanak tanıyabilir.
Grubun Geçmişi ve Yöntemleri
“Scattered Lapsus$ Hunters” grubu, önceki yıllarda büyük veri hırsızlığı saldırılarına imza atan “Shiny Hunters,” “Scattered Spider” ve “Lapsus$” gruplarıyla bağlantılı olduklarını iddia ediyor. Bu grup, bu yıl Salesforce verilerine yönelik geniş çaplı veri hırsızlığı saldırıları gerçekleştirdi. Öncelikle, sosyal mühendislik dolandırıcılığı yaparak Salesforce’un Data Loader aracını şirketin Salesforce instance’larına bağlatmayı başardılar. Bu bağlantı sayesinde verilere erişim sağladı ve şirketlere baskı kurarak fidye talep ettiler.
Ardından, Salesloft‘un GitHub deposuna sızdılar ve özel kaynak kodunda ifşa edilen bilgileri taramak için Trufflehog kullandılar. Bu sayede, Salesloft Drift için kimlik doğrulama token’larını buldular ve daha fazla Salesforce veri hırsızlığı saldırısı gerçekleştirdiler.
Bu saldırılar sonucunda etkilenen birçok şirket bulunuyor. Bunlar arasında Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, Tiffany & Co, Cloudflare, Zscaler, Elastic, Proofpoint, JFrog, Rubrik, Palo Alto Networks gibi değerli markalar yer alıyor.
Google’ın Yanıtı ve Gelecek Beklentileri
Google’ın tehdit istihbaratı ekibi, Mandiant, bu tehdit aktörleri için rahatsız edici bir engel oluşturarak Salesforce ve Salesloft saldırılarını ilk olarak ifşa eden taraf oldu. Ayrıca birçok şirkete güvenliklerini güçlendirmeleri konusunda uyarılarda bulundular.
Saldırganlar, zamanla FBI, Google, Mandiant ve siber güvenlik araştırmacılarını çeşitli Telegram kanallarında alaycı bir dille hedef alarak, durumu daha da karmaşık hale getirdiler. Perşembe gecesi, grup, bir BreachForums bağlantılı alan adında uzun bir mesaj yayımlayarak kendilerini emekli ettiklerini iddia ettiler.
Bu, onların assosye olduğu diğer büyük şirketlerin veri ihlali raporları arasında adlarının geçebileceği anlamına geliyor. Ancak, siber güvenlik araştırmacıları, dolandırıcıların “karanlığa doğru gitme” iddialarına rağmen, sükunet içerisinde saldırılara devam edeceklerine inanıyorlar.
Sonuç Olarak Siber Güvenlik Tehditleri
Sonuç olarak, bu tür olaylar, siber güvenlik tehditlerinin ne denli ciddiyet taşıdığını bir kez daha gözler önüne seriyor. Dünya genelinde istihbarat ve güvenlik ajanslarının kullandığı sistemlerin hedef alınması, yalnızca şirketleri değil, aynı zamanda bireysel kullanıcıların verilerini de tehlikeye atıyor. Bireyler ve kuruluşlar, veri güvenliği konusunda daha önlemler almalı ve gerekli güvenlik duvarlarını oluşturmalıdır. Aksi takdirde, bu tür saldırıların sonuçları çok daha ağır olabilir.
