Allianz Life Veri İhlali: 2.8 Milyon Kayıt Açığa Çıktı
Son dönemde, ABD merkezli sigorta devi Allianz Life‘ın verileri, siber suçlular tarafından çalındı ve 2.8 milyon kayıt, müşteri ve iş ortaklarına ait hassas bilgileri içeren veritabanı internete sızdırıldı. Bu durum, özellikle Salesforce sistemlerini hedef alan geniş çaplı veri ihlalleriyle ilgili devam eden saldırılardan kaynaklanıyor.
Allianz Life, geçen ay yaptığı bir açıklamada, 1.4 milyon müşterisinin __ bireysel bilgilerini içeren veri ihlalinin, 16 Temmuz’da üçüncü bir tarafın bulut tabanlı müşteri ilişkileri yönetim sistemi (CRM) üzerinden gerçekleştiğini duyurdu. Şirket, bu ekosistem içerisinde hangi hizmet sağlayıcısının yer aldığını belirtmemiştir. Ancak BleepingComputer tarafından yapılan ilk raporlamalar, bu olayın ShinyHunters fidye grubuna ait bir dizi Salesforce odaklı hırsızlığın parçası olduğunu göstermektedir.
ShinyHunters’ın Tehditleri
Geçtiğimiz hafta sonu, ShinyHunters ve aynı zamanda “Scattered Spider” ve “Lapsus$” ile bağlantılı olduğunu öne süren diğer tehdit aktörleri, “ScatteredLapsuSp1d3rHunters” adlı bir Telegram kanalı oluşturdu. Bu kanal, siber güvenlik araştırmacılarını, yasayı uygulayanları ve gazetecileri alaycı bir dille hedef alırken, üstlendikleri yüksek profilli ihlalleri öne çıkarmaktadır.
Söz konusu saldırılardan bazıları, daha önce herhangi bir tehdit aktörüne atfedilmemişti. Bunlar arasında Internet Archive, Pearson ve Coinbase gibi önemli kuruluşların da yer aldığı saldırılar bulunmaktadır. Allianz Life’a yönelik yapılan saldırılar da bu kapsamda yer alıyor. Tehdit aktörleri, Allianz Life’a dair tamamen çalınan verileri sızdırma eylemini gerçekleştirmiştir.
Hassas Bilgilerin Sızdırılması
Sızdırılan dosyalar, Salesforce Sistemleri üzerinden çalınan “Accounts” ve “Contacts” veritabanı tablolarını içermektedir. Bu veriler, 2.8 milyon kayıt içermekte ve bireysel müşterilerle birlikte zengin yönetim şirketleri, aracılar ve finansal danışmanlar gibi iş ortaklarına ait bilgiler bulunmaktadır.
Sızdırılan Salesforce verileri, isimler, adresler, telefon numaraları, doğum tarihleri ve Vergi Kimlik Numaraları gibi kişisel bilgilerin yanı sıra lisanslar, firma bağlantıları, ürün onayları ve pazarlama sınıflandırmaları gibi profesyonel detayları da içermektedir. BleepingComputer, sızdırılan dosyalardaki bilgilerin doğruluğunu birçok kişiyle teyit etmeyi başarmıştır. Kullanıcılar, kendi telefon numaraları, e-posta adresleri ve vergi kimlikleri gibi bilgilerin doğru olduğunu belirtmiştir.
Allianz Life’a sızdırılan veriler üzerine yapılan iletişimlerde, şirketin herhangi bir yorum yapmadığı bilgisi verilmiştir. Şirketin şu an için bir araştırma süreci yürüttüğü ifade edilmiştir.
Veri Hırsızlığı Saldırılarının Arkasında Yatan Yöntemler
Salesforce veri hırsızlığı saldırılarının, yılın başında başlamış olduğu düşünülmektedir. Tehdit aktörleri, çalışanları, şirketin Salesforce sistemleri ile kötü niyetli bir OAuth uygulaması bağlamaya ikna etmek için sosyal mühendislik saldırıları gerçekleştirmiştir. Bağlantı sağlandıktan sonra, tehdit aktörleri bu bağlantıyı kullanarak veritabanlarını indirip çalmışlardır. Çalınan veriler, daha sonra e-posta yoluyla şirkete karşı fidye talep etme amacıyla kullanılmaya başlanmıştır.
Fidye talepleri, şirketlere e-posta yoluyla gönderilmektedir ve imza Şirket ŞinyHunters olarak belirlenmiştir. Bu ünlü fidye grubu, yıllar içinde birçok yüksek profilli saldırıyla ilişkilendirilmiştir. ŞinyHunters, bulut tabanlı SaaS uygulamalarına ve web veri tabanlarına yönelik olarak bilinse de, bu tür sosyal mühendislik saldırılarıyla ilişkilendirilmesi daha az yaygındır. Bu nedenle birçok araştırmacı ve medya organı, bazı Salesforce saldırılarını Scattered Spider ile ilişkilendirmiştir.
Sonuç
Sırasıyla, ShinyHunters ve Scattered Spider’ın aynı grup olduğunu ve bu sorgulamanın devam ettiğini belirtelim. Söz konusu grup, başlangıç erişimini sağlarken, Salesforce CRM’lerinin veri dökümünü ve dışa aktarımını gerçekleştirmektedir. Öte yandan, grubun bazı üyelerinin, 2022-2023 yıllarında çeşitli saldırılarda sorumlu olan bir diğer hacker grubu olan Lapsus$‘la bağlantılı olduğu düşünülmektedir. Lapsus$, Rockstar Games, Uber ve Microsoft gibi birçok büyük şirketin güvenlik sistemlerini aşan saldırılarla tanınmaktadır.
Sonuç olarak, siber güvenlik tehditleri artış gösterirken, hem bireysel hem de kurumsal düzeyde daha fazla dikkat ve eğitim gerekmektedir. Bu süreç, hizmet sağlayıcılar ve veri yöneticileri için büyük bir sorumluluk taşıyacaktır.
