“`html
Bu bildirilerde, hem küfürlü ifadeler yer aldı hem de belirli bir cüzdana binlerce dolarlık Bitcoin gönderilmesi istenerek, aksi takdirde kullanıcı verilerinin ifşa edileceği tehdidi yapıldı.
Bir sonraki olay ise 10 Aralık’ta PTT’nin “HGS” uygulamasında yaşandı.
Kullanıcılara yine küfür içeren bildirimler gönderilmiş ve verilerinin ifşa edileceği yönünde bir tehditte bulunulmuştu.
BBC Türkçe ile yaptığı görüşmelerde siber güvenlik uzmanları, her iki olayın ardında aynı siber saldırganların yer aldığını bildirdiler.
Anadolu Sigorta ve PTT’nin açıklamaları neler?
Her iki kurum da yaptığı açıklamalarda, uygulamalarının kontrollerinin ardından yeniden hizmete alındığını ve veri sızıntısı yaşanmadığını duyurdular.
PTT’nin sosyal medya aracılığıyla yaptığı paylaşımda ise “Şirketimizle ilgisi olmayan bildirimlerin bir kısmı bazı kullanıcılara iletildi” ifadesine yer verildi.
Açıklamalarda, veri kaybı yaşanmadığı ve kullanıcı bilgilerinin “yetkisiz kişilerce ele geçirilmediği” vurgulandı.
Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) bağlı Ulusal Siber Olaylara Müdahale Merkezi (USOM) da konuyla ilgili bir görüş bildirdi.
USOM, 11 Aralık’ta yaptığı paylaşımda, güvenlik açığının “OneSignal” isimli bildirim hizmeti sağlayıcısının sanal “anahtarlarının” siber saldırganlar tarafından ele geçirilmesiyle ortaya çıktığını belirtti.
Paylaşımda, bu hizmetten yararlanan kurumların güvenlik önlemlerini alması gerektiği de ifade edildi.
USOM, ayrıca kullanıcılara bu tür bildirilerine dikkat etmeleri ve asla kripto para transferi yapmamaları konusunda uyarıda bulundu.
OneSignal’ın CEO’su George Deglin, Türk kullanıcıların sosyal medyada konuyla ilgili paylaşımlarına verdiği yanıtta, sorunun genel olarak OneSignal’dan kaynaklanmadığını belirtti.
Deglin, ilgili güvenlik açığının, iki uygulamanın anahtarlarının “siber saldırganların bulabildiği yerlerde” bulunmasından kaynaklandığı açıklamasında bulundu.
Deglin, çözüm için uygulama sahipleriyle irtibat kurduklarını ve gelecekte daha sıkı güvenlik önlemleri alınması gerektiğini ifade etti.
Peki, siber saldırganlar bu uygulamaların bildirim hizmetlerine nasıl erişim sağladı? Bu saldırılar sonucunda birçok kullanıcıya tehdit dolu mesajlar gönderebildi?
‘Bildirimlerin gelmesi, uygulamanın hacklendiği anlamına gelmiyor’
Bu saldırının temelinde “Uygulama Programlama Arayüzü (API) anahtarı” kavramı yatıyor.
Siber güvenlik uzmanı Ayşe Aktağ, siber saldırganların API anahtarlarını Anadolu Sigorta ve HGS uygulamalarının dosyaları içerisinde “sabit olarak” bulabildiğini ve bunun üzerinden OneSignal hizmetine izinsiz erişim sağladıklarını belirtti.
Kıdemli Siber Güvenlik Uzmanı Onur Oktay, HGS uygulamasını indirdikten sonra “tersine mühendislik” yöntemi kullanarak bahsedilen dosyalara kolayca ulaştıklarını aktardı.
Kıdemli Siber Güvenlik Uzmanı Eyüp Çelik, bu süreci şu şekilde özetliyor:
“OneSignal’ın internete açık bir servisi var. Uygulamalar anahtarları ile ona bağlanarak bildirim gönderiyor. Saldırganlar bu anahtarla oradaki hizmete bağlanarak, HGS uygulaması üzerinden bildirim gönderiyormuş gibi hareket ediyor.”
Çelik, API anahtarlarının dosyalar içerisinde bırakılmasında yazılımcıların hatalarının olduğunu vurguluyor ve ekliyor:
“Anahtar, ya şifrelenmiş bir şekilde saklanmalı ya da tamamen sunucu tarafında korunmalıdır. Kullanıcı ya da saldırgan bu verilere ulaşmamalıdır.”
Uzmanlar, Anadolu Sigorta’ya yönelik gerçekleştirilen saldırının ardından diğer kurumların da sistemlerindeki açıkları tarama ve kapatma konusunda yoğun bir çaba başlattığını belirtiyorlar.
Oktay, “Sektördeki tüm firmalar, ‘Bizde OneSignal var mı?’ sorusunu sormaya başladı ve kritik verilerin bulunduğu yerlerde kod incelemeleri yapılıyor” dedi.
BBC Türkçe‘ye konuşan ThreatMon Siber Tehdit İstihbaratı Platformu Baş Teknoloji Sorumlusu Gökhan Yüceler, bildirimlerin gelmesinin bu kurumların hacklendiği anlamına gelmediğini söyledi.
Yüceler, “OneSignal üzerinde kişisel bilgilerin bulunmadığını, verilerin HGS ve Anadolu Sigorta’nın veritabanında tutulduğunu” aktardı.
‘Kredi kartı ya da bilgi sızıntısı yaşanmadı’
Ayşe Aktağ, bu tür saldırılarda bazen saldırganların kullanıcıların yerine geçip kişisel bilgilere erişebileceğine dikkat çekiyor.
Siber güvenlik uzmanı, “Bu nedenle API anahtarlarının güvenli bir biçimde korunması, yalnızca gerekli erişimlerin verilmesi ve düzenli güvenlik testleri yapılması önemlidir” şeklinde uyarıda bulundu.
Onur Atay ise sosyal medya üzerinden dile getirilen sigorta bilgileri veya HGS uygulamasındaki kredi kartı ve araç plaka bilgileri konusunda herhangi bir çalıntı olmadığını, saldırganların yalnızca bildirim gönderme hizmetine erişim sağladıklarını aktardı.
Atay, “Sadece bildirim atabiliyorlardı. Eğer isterlerse binlerce kişinin bilgilerini alıp satabilirdiler” diyerek açıklamada bulundu.
“Bunlar tamamen farklı konular, hiçbir kredi kartı veya bilgi sızıntısı durumu söz konusu değil.”
Gökhan Yüceler, “Burada bir veri kaybı yok, yalnızca bildirim sistemine entegre oldukları için kullanıcıların cihaz bilgileri ve bazı parametre verilerinin mevcut olduğunu” belirtiyor ve gelen şantaj bildirilerinin yanıltıcı olduğunu ifade ediyor:
“Saldırgan, durumu fırsata çevirip, ‘Burayı hackledim’ algısı yaratıyor; ancak böyle bir şey söz konusu değil.”
Kullanıcılar nasıl önlem almalı?
Siber saldırıların ardından kullanıcıların verilerinin ifşa olduğu endişeleri arttı.
Ayşe Aktağ, API güvenlik anahtarlarına yönelik kurumların alabileceği önlemlerin yanı sıra, bu durumdan etkilenen kullanıcıların uygulama şifrelerini hemen değiştirmeleri gerektiğini vurguladı.
Aktağ, aynı zamanda uygulama ve cihazların düzenli olarak güncellenmesi ve güvenlik taramalarına tabi tutulması gerektiğini belirtti.
BBC Türkçe‘ye konuşan Boğaziçi Üniversitesi Bilgisayar Mühendisliği Bölümü’nden Profesör Dr. Tuna Tuğcu, siber saldırganların kişisel bilgiler üzerinden kullanıcıları korkutarak hareket ettiğine dikkat çekti.
Tuğcu, kullanıcıların bu tür durumlarda saldırganlara para göndermek gibi eylemlerde bulunmamaları gerektiğini önemle vurguladı.
Akademisyen, iki büyük firmanın uygulamalarına ait API güvenlik anahtarlarının aynı anda ele geçirilmesinin “ciddi soru işaretleri” yarattığını ve resmi kurumların olaya ilişkin yeterli açıklamalar yapmadığını ifade etti.
Tuğcu ayrıca, bu konunun resmi kurumlar ve bağımsız uzmanlar tarafından araştırılması gerektiğini belirterek, “Hepimizin yapması gereken şey daha net bir açıklama talep etmek; ‘Tamam, düzeltildi’ demek yeterli değil. ‘Sorun neydi, nasıl oluştu ve nasıl çözüldü? Beni bunun gerçek bir çözüm olduğuna ikna edin’ diye sormalıyız” diye ekledi.
“`
