Avrupa Uzay Ajansı (ESA), kurumsal ağının dışında bulunan sunucuları kapsayan bir siber güvenlik ihlalini doğruladı. Bu onay, tehdit aktörlerinin ESA sistemlerini tehlikeye attıkları ve büyük miktarda dahili veriyi çaldıkları iddiasının ardından geldi. ESA yalnızca sınıflandırılmamış bilgilerin etkilendiğini savunuyor.
Avrupa Uzay Ajansı, sosyal medyada paylaşılan resmi bir açıklamada, siber güvenlik sorununun farkında olduğunu ve halihazırda devam eden bir adli güvenlik soruşturması başlattığını söyledi. ESA’ya göre ön bulgular yalnızca çok az sayıda harici sunucunun etkilendiğini gösteriyor.
ESA, etkilenen altyapının kendi dahili kurumsal ağına ait olmadığını vurgulayarak, “Bu sunucular bilimsel topluluk içindeki sınıflandırılmamış işbirlikçi mühendislik faaliyetlerini destekliyor” dedi.
Ajans, potansiyel olarak etkilenen cihazların güvenliğini sağlamak için sınırlama önlemlerinin uygulandığını ve ilgili tüm paydaşların bilgilendirildiğini ekledi.
ESA, ek ayrıntılar mevcut oldukça daha fazla güncelleme sağlayacağını söyledi.
Tehdit Aktörü Veri Hırsızlığını İddia Ediyor
Onay, BreachForums ve DarkForums’ta yayınlanan ve “888” takma adını kullanan bir bilgisayar korsanının siber güvenlik ihlalinin sorumluluğunu üstlendiği iddiaların ardından geldi. Gönderilere göre saldırı 18 Aralık 2025’te gerçekleşti ve ESA’nın dahili geliştirme varlıklarının tamamen dışarı sızmasıyla sonuçlandı.
Tehdit aktörü, özel Bitbucket depoları, kaynak kodu, CI/CD işlem hatları, API belirteçleri, erişim belirteçleri, yapılandırma dosyaları, Terraform dosyaları, SQL dosyaları, gizli belgeler ve sabit kodlanmış kimlik bilgileri dahil olmak üzere 200 GB’tan fazla veriyi çaldığını iddia ediyor.
Aktör bir forum gönderisinde, “Yaklaşık bir haftadır bazı hizmetlerine bağlanıyorum ve tüm özel Bitbucket depolarının boşaltılması da dahil olmak üzere 200 GB’tan fazla veri çaldım” diye yazdı.
Çalınan verilerin tek seferlik bir satış olarak sunulduğu ve ödemenin genellikle yeraltı siber suç pazarlarıyla ilişkilendirilen bir kripto para birimi olan Monero (XMR) üzerinden talep edildiği bildiriliyor.
ESA, tehdit aktörünün iddialarının gerçekliğini veya kapsamını doğrulamadı.
Şu ana kadar ESA, hangi belirli harici sunucuların ele geçirildiğini veya tehdit aktörünün referans verdiği herhangi bir kimlik bilgisinin veya geliştirme varlığının açığa çıktığının doğrulanıp doğrulanmadığını açıklamadı.
50 yıl önce kurulan ve merkezi Paris’te bulunan Avrupa Uzay Ajansı, 23 üye ülkede uzay faaliyetlerini koordine eden hükümetlerarası bir kuruluştur.
ESA’nın uzay araştırmaları, uydu sistemleri ve bilimsel araştırmalardaki rolü göz önüne alındığında, teşkilatın dahil olduğu siber güvenlik olayları, stratejik ve itibar açısından büyük önem taşımaktadır.
Önceki Avrupa Uzay Ajansı Siber Güvenlik Olayları
Bu, son yıllarda ESA’nın dahil olduğu ilk siber güvenlik ihlali değil. Aralık 2024’te, saldırganların ödeme sırasında müşteri bilgilerini ve ödeme kartı verilerini çalmak için tasarlanmış kötü amaçlı JavaScript kodunu enjekte etmesinden sonra ajansın resmi web mağazasının güvenliği ihlal edildi.
Bu olay, üçüncü taraf sistemler ve dışarıya bakan altyapıyla ilgili endişeleri artırdı; bu sorun, kurumsal olmayan sunucuları içeren mevcut ihlalde de tekrar alakalı görünüyor.
Bundan Sonra Ne Olacak?
ESA, ele geçirilen sistemlerin yalnızca sınıflandırılmamış verileri barındırdığı konusunda ısrar etse de, devam eden adli soruşturma, ihlalin gerçek kapsamını ve etkisini belirlemede kritik öneme sahip olacak. Tehdit aktörleri, hack forumlarına ilişkin iddialar yayınlamaya devam ederken, bu olay, ağırlıklı olarak işbirlikçi ve dağıtılmış dijital ortamlara dayanan büyük bilim ve devlet kuruluşlarının karşı karşıya olduğu artan siber güvenlik risklerini ortaya koyuyor.
ESA, daha fazla bilgi elde edildiğinde daha fazla güncellemenin paylaşılacağını söyledi.