Üst düzey bulut bilişim hizmetleri sağlayıcısı Shadow PC, bir tehdit aktörünün çalınan verileri 500.000’den fazla müşteriye sattığını iddia etmesi nedeniyle müşterilerin özel bilgilerini açığa çıkaran bir veri ihlali konusunda müşterilerini uyarıyor.
Shadow (Shadow), kullanıcılara yerel cihazlarına (PC’ler, dizüstü bilgisayarlar, akıllı telefonlar, tabletler, akıllı TV’ler) aktarılan üst düzey Windows PC’ler sağlayan ve zorlu AAA oyunlarını sanal bir bilgisayarda çalıştırmalarına olanak tanıyan bir bulut oyun hizmetidir.
Dün Shadow müşterilerinden BleepingComputer’a gönderilen çok sayıda ipucuna göre şirket, çalışanlarını hedef alan başarılı bir sosyal mühendislik saldırısının ardından veri ihlali bildirimleri göndermeye başladı.
Bildiride “Eylül ayının sonunda çalışanlarımızdan birini hedef alan bir sosyal mühendislik saldırısının kurbanı olduk” deniyor.
“Bu son derece karmaşık saldırı, Discord platformuna, kendisi de aynı saldırının kurbanı olan çalışanımızın bir tanıdığı tarafından önerilen, Steam platformundaki bir oyun kapsamında kötü amaçlı yazılımın indirilmesiyle başladı.”
Saldırının açıklamasına göre, indirilen kötü amaçlı yazılım, bilgisayar korsanlarının şirketin SaaS (hizmet olarak yazılım) sağlayıcılarından birinin yönetim arayüzünde oturum açmasına olanak tanıyan bir kimlik doğrulama çerezini başarıyla çalan bir bilgi hırsızıydı.
Bu erişimden yararlanan saldırgan, müşterilerin tam adlarını, e-posta adreslerini, doğum tarihlerini, fatura adreslerini ve kredi kartı son kullanma tarihlerini elde etmek için API’yi kötüye kullandı.
Shadow’un bildirimi, olayın hesap şifrelerinin veya diğer hassas ödeme/bankacılık verilerinin açığa çıkmasıyla sonuçlanmadığını açıklıyor.
Shadow, çalınan kimlik doğrulama çerezini iptal ettiğini ve bilgisayar korsanının sistemlerine erişiminin engellendiğini söylüyor. Üstelik Shadow, gelecekte benzer olayların yaşanmasını önlemek için ek savunmalar uyguladı.
Firma, etkilenen müşterilere, ele geçirilen hizmet sağlayıcının, bildirimde vurgulananlar dışında başka hiçbir kullanıcı verisi tutmadığına dair güvence veriyor.
Ancak etkilenen kişilerin kimlik avı ve dolandırıcılık girişimlerine karşı dikkatli olmaları ve tüm hesaplarında çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri tavsiye ediliyor.
Firmanın bir çalışanının katıldığı bu Reddit tartışmasında olayla ilgili sınırlı ek bilgi bulunabilir. Ancak resmi internet sitesinde veya sosyal medya kanallarında olayla ilgili herhangi bir resmi açıklama yapılmadı.
BleepingComputer, olayla ilgili soruları için Shadow ile temasa geçti ve biz de bu gönderiyi onların beyanlarıyla güncelleyeceğiz.
Bir hacker forumunda satılan gölge veritabanı
Dün gece, bir tehdit aktörü saldırının sorumlusu olduğunu iddia etti ve çalınan veri tabanını tanınmış bir bilgisayar korsanlığı forumunda satıyor.
Tehdit aktörü, Eylül ayı sonunda Shadow’a erişim sağladıklarını ve 533.624 kullanıcının verilerini çalabildiklerini iddia ediyor.
Satılık gönderide “Eylül ayının sonunda Fransız şirketi Shadow’un veritabanına erişim kazandım. Bu veritabanı tüm Shadow kullanıcılarını değil, yalnızca müşterileri içeriyor” diyor.
“Kasıtlı olarak göz ardı ettikleri dostane bir çözüm girişiminden sonra, veritabanını satışa çıkarmaya karar verdim.”
Kaynak: BleepingComputer
Tehdit aktörü ayrıca, Shadow tarafından onaylanan diğer verilere ek olarak IP bağlantı kayıtlarının da ihlal sırasında çalındığını söylüyor.
BleepingComputer, satılan verilerin Shadow müşterilerine ait olup olmadığını bağımsız olarak doğrulamadı.