Olay ve İhlale Müdahale, Güvenlik Operasyonları
Veri Kümesi Ücretsiz Olarak Sızdırıldı; ShinyHunters Siber Suç Çetesi İlk Reklamını 2021'de Yaptı
Mathew J. Schwartz (euroinfosec) •
19 Mart 2024
Geçmişten gelen veri ihlali patlaması: 70 milyon AT&T müşterisine ait olduğu iddia edilen eski bir veri dilimi, bir bilgisayar korsanlığı forumunda ücretsiz olarak sunuluyor.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
Amerika'nın en büyük kablosuz telefon operatörü, 2021'de ilgili bir siber suç ve bilgisayar korsanlığı forumunda ilk kez ortaya çıktığından beri sızdırılan verilerin kaynağı olduğunu reddetti.
Bir AT&T sözcüsü, Information Security Media Group'a yaptığı açıklamada, “Sistemlerimizin tehlikeye girdiğine dair hiçbir belirtimiz yok” dedi. “2021 yılında bu çevrimiçi forumda sunulan bilgilerin bizim sistemlerimizden gelmediğini belirledik. Bu, bu forumda birkaç kez geri dönüştürülen veri kümesinin aynısı gibi görünüyor.”
Ücretsiz Have I Been Pwned ihlal bildirim hizmetini yürüten veri ihlali uzmanı Troy Hunt, sızdırılan veri setini inceledi ve bunların isimleri, ev adreslerini ve telefon numaralarını içerdiğini buldu. Ayrıca şunu da buldu:
- 49 milyon benzersiz e-posta adresi
- 44 milyon iddia edilen Sosyal Güvenlik Numarası
- 44.000 doğum tarihi
Hunt, açığa çıkan tüm e-posta adreslerini HIBP'ye yüklediğini, böylece etkilenen abonelerin bilgilerinin ihlalde yer alması durumunda bilgilendirileceğini söyledi.
AT&T'nin veri ihlaline dair hiçbir kanıt bulunmadığı yönündeki açıklamasına yanıt veren Hunt şunları söyledi: “'Kanıtın yokluğu, yokluğun kanıtı değildir' şeklindeki eski atasözü aklıma geliyor; bunun kanıtını bulamamaları, bunun bir kanıt olmadığı anlamına gelmez.” olmadı.” Ama en azından şu ana kadar hiç kimsenin aksini ispatlayan bir delili yok.
Bleeping Computer, etkilenen bazı bireylerle, kamuya açık olmayan verilerin (saldırganların AT&T veya başka bir kuruluşun web sitesinden alamayacağı veriler anlamına gelir) veri dökümünde göründüğünü doğruladı.
Hunt ile iletişime geçtiğinde e-postası veri dökümünde görünen bir HIBP kullanıcısı, sızdırılan bilgilerinin doğru olduğunu ve 2014 yılında AT&T müşterisi olduklarını söyledi. “Bu, verilerin gerçekten AT&T'den kaynaklandığının doğrulanması olmayabilir. Hunt, kullandıkları üçüncü taraf bir işlemciden veya tamamen ilgisiz olan başka bir kuruluştan gelmiş olabilir” dedi.
Daha fazla bilgi gelebilir. Hunt, bazı HIBP kullanıcılarının kullandıkları her farklı hizmet için benzersiz e-posta takma adları kullandıklarını ve bunun da ihlalin kaynağının izlenmesine yardımcı olabileceğini söyledi.
Veri seti ilk olarak 2021'de RaidForums'da ortaya çıktı ve burada kötü şöhretli ShinyHunters grubu, diğer adıyla Shinycorp, onu satışa sundu. Grup, çalınan verileri RaidForums, EmpireMarket ve Exploit gibi forumlarda dolandırıcılara satarak para kazandı.
Federal savcılar, ShinyHunters'ın 2019'un sonlarından başlayarak 2020 ve 2021'de artarak 60'tan fazla ABD kuruluşundan çalınan ve genellikle kimlik avı saldırılarıyla toplanan verilerin reklamını yaptığını söyledi. ABD Adalet Bakanlığı, “Bazen ShinyHunters, kurban fidyeyi ödemediği takdirde çalınan hassas dosyaları sızdırmakla veya satmakla tehdit ediyordu” dedi.
ShinyHunters, varsayılan AT&T verilerini 200.000 $'lık bir başlangıç açık artırma fiyatı veya 2021'de 1 milyon $'lık anında “hemen satın al” fiyatı olarak listeledi ve AT&T bir ihlalden muzdarip olduğunu veya kaynak olduğunu ilk kez reddettiğinde ShinyHunters, Bleeping Computer'a şunları söyledi: “Yapmıyorum” Kabul etmemeleri umurumda değil. Ben sadece satıyorum.”
Elbette suçlular her zaman yalan söylerler, özellikle de para almaya çalışırken.
ShinyHunters sessizleştikten sonra 2023'te yeniden ortaya çıktı ve o yaz BreachForums'un yeniden başlatıldığını duyurdu. Bu siber suç forumu, kolluk kuvvetlerinin Şubat 2022'de kapatmasının ardından ilk olarak RaidForums'un bir yan ürünü olarak ortaya çıktı. BreachForums, FBI'ın New York eyaletinde yöneticisi Conor Brian Fitzpatrick, namı diğer “Pompompurin”i tutuklamasının ardından Mart 2023'te kapandı.
ShinyHunters'ın en az bir üyesi artık serbest değil. Yetkililer Haziran 2022'de ShinyHunters üyesi “Sezyo” olarak da bilinen Fransız Sébastien Raoult'u Fas'taki bir havaalanında tutukladı. Seattle'a iade edilmesinin ardından Raoult suçunu kabul etti ve Ocak 2024'te 22 yaşındaki adam üç yıl hapis cezasına çarptırıldı ve elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığı suçundan 5 milyon dolardan fazla tazminat ödemesine karar verildi.
ABD Bölge Yargıcı Robert S. Lasnik ceza duruşmasında “Bu olağanüstü derecede ciddi bir suçtur” dedi. “İnsanlardan milyonlarca dolar çaldığından bahsediyoruz.”
ABD'nin Raoult hakkındaki iddianamesinde ayrıca yirmili yaşlarının başındaki Fransız arkadaşları Gabriel Kimiaie-Asadi Bildstein, namı diğer “Kuroi” ve “Gnostik Oyuncular” ve Abdel-Hakim El Ahmadi, namı diğer “Zac” ve “Jordan Keso” da grubun üyeleri olarak adlandırılıyor . Her ikisinin de Fransa'da serbest olduğu görülüyor.