Giriş
Hackerlar, Target’ın iç kaynak kodunu satmayı planladıklarını doğrulayan materyalleri yayınladı. Bu durum, siber güvenlik açısından büyük bir tehdidi ve kurumsal verilerin korunmasının önemini gözler önüne seriyor.
Çalışanlar, sızdırılan materyallerin doğruluğunu onaylıyor
BleepingComputer’ın raporuna göre, saldırganlar, Target’ın iç kaynak kodunu çalmakla kalmayıp, bunu Gitea adlı bir platformda paylaşarak satışa çıkarmayı hedefliyor. Çok sayıda mevcut ve eski Target çalışanı, sızan verilerin şirketin iç sistemlerine ait olduğunu doğruladı.
- Ayrıca, daha önce çalışmış bir çalışan, örnek materyallerde gördükleri “BigRED” ve “TAP [Provisioning]” gibi sistem adlarının, şirket içinde kullanılan gerçek platformlarla ilişkili olduğunu belirtti.
- Çalışanlar, sızan verilerde yer alan Hadoop veri kümesi ve özelleştirilmiş CI/CD platformu gibi teknolojik unsurların, Target’ın içindeki sistemlerle uyumlu olduğunu ifade etti.
Bu durum, sızan materyallerin gerçek bir iç geliştirme ortamına ait olduğunu daha da güçlendiriyor.
Target, ‘hızlandırılmış’ erişim değişikliği uyguluyor
İçeriden bilgi veren bir çalışan, BleepingComputer’ın şirkete ulaşmasının üzerinden bir gün geçmeden, üst düzey bir ürün yöneticisinin güvenlik değişikliği duyurusunu içeren bir ekran görüntüsü paylaştı.
“9 Ocak 2026 itibarıyla, git.target.com’a (Target’ın yerel GitHub Enterprise Sunucusu) erişim, yalnızca Target yönetimindeki bir ağa (yerinde veya VPN aracılığıyla) bağlanarak mümkün olacaktır,” diye belirtti yönetici.
- Gizli projelerin bulunduğu Enterprise Git sunucuları, sadece yetkilendirilmiş çalışanların görebileceği özel depolar ve açık kaynak projeleri barındırabilir.
- Target, genellikle açık kaynak kodunu GitHub.com‘da barındırmakta, git.target.com ise sadece iç geliştirme için kullanılmaktadır.
Elde edilen bilgilere göre, git.target.com, haftalarca açık bir şekilde web üzerinden erişilebilir durumdaydı ve artık yalnızca Target’ın iç ağı veya kurumsal VPN üzerinden erişilebilir hale geldi.
Veri sızıntısı, ihlal ya da iç tehdit mi?
Verilerin nasıl bir tehdit aktörünün eline geçtiği henüz netleşmiş değil. Ancak, güvenlik araştırmacısı Alon Gal, Değerli Bilgiler kazanan Hudson Rock’un CTO’su, bir Target çalışanının bilgisayarının Eylül 2025’te infostealer zararlısı tarafından etkilenmiş olduğunu ve bu cihazın IAM, Confluence, Wiki ve Jira gibi iç hizmetlere erişim sağladığını bildirdi.
“Bir target çalışanına ait, IAM, Confluence, wiki ve Jira erişim bilgilerine sahip bir bilgisayar yakın zamanda enfekte oldu,” dedi Gal.
Saldırganların 860 GB büyüklüğünde bir veri seti olduğunu iddia ettiği belirtiliyor. BleepingComputer sadece 14 MB boyutunda beş parça deponun incelendiğini kaydediyor. Çalışanlar, eldeki bu sınırlı örneğin bile gerçek iç kodlar ve sistem referansları içerdiğini ifade ederek, daha büyük veri setinin sorumluluğu konusunda derin kaygılar oluşturuyor.
Çözüm ve Korunma
Sızdırılan verilerin büyüklüğü ve potansiyel etkisi göz önüne alındığında, Target çalışanlarının ve diğer kullanıcıların aşağıdaki adımları atması önerilmektedir:
- Güncellemeleri yükleyin: Tüm sistem yazılımlarınızı ve uygulamalarınızı en son güvenlik yamaları ile güncel tutun.
- Portları kapatın: Gereksiz açık portları kapatmak ve güvenlik duvarınızı güçlendirmek önemlidir.
- Şifrelerinizi değiştirin: Özellikle IAM, Confluence, Wiki ve Jira gibi sistemlerdeki hesaplarınızın şifrelerini değiştirin.
Bu tür olaylar, siber güvenliğin sürekli olarak izlenmesi ve güncellenmesi gerekliliğini bir kez daha hatırlatmaktadır.
