Devasa Japon finans haber ve medya grubu ve Financial Times’ın sahibi Nikkei Inc., bu hafta ağlarına büyük bir izinsiz giriş yapıldığını doğrulayan bir duyuru yaptı.
Dünyanın en büyük medya şirketlerinden biri olan şirket, olayı ilk olarak Eylül ayında çalışanların mesajlaşma hesaplarına olağandışı girişler yaptığını fark ettikten sonra fark etti. Bu olayın 17.000’den fazla kişiye ait hassas, özel bilgilerin açığa çıkmasına yol açtığı bildirildi.
Giriş Noktası: Çalınan Bir Slack Hesabı
Olay, bir çalışanın kişisel bilgisayarına kötü amaçlı yazılım bulaşmasıyla başladı ve bu durum saldırganların oturum açma bilgilerini çalmasına olanak sağladı. Güvenliği ihlal edilen bu kimlik bilgilerini, Nikkei’nin dahili bilgilerine yetkisiz erişim elde etmek için doğrudan bir ağ geçidi olarak kullandılar. Gevşek çalışma alanıçalışanlarının günlük iletişim ve koordinasyon için kullandığı iş mesajlaşma platformudur.
Soruşturmanın ardından Nikkei, ihlalin potansiyel olarak çalışanlar ve iş ortakları da dahil olmak üzere platformda kayıtlı toplam 17.368 kişinin adlarını, e-posta adreslerini ve sohbet geçmişlerini açığa çıkardığını belirledi.
Bildiğimiz kadarıyla bu tür çalıntı veriler, suçlular için yeni bir koz haline geldi; fidye yazılımı saldırıları yoluyla şirketin sistemlerini kilitlemek yerine, verileri sızdırmakla tehdit ederek ödemeleri zorlamak için giderek daha fazla kullanılıyor.
Örneğin Şubat 2024’te Sağlık Hizmetleri saldırısını değiştirin Yaklaşık 190 milyon kişinin hassas verilerini çalan ve kamuya açıklanmasını önlemek için büyük bir fidye ödemesi talep eden tehdit aktörlerini içeriyordu.
The Nikkei gazetesi ve geniş çapta takip edilen Nikkei 225 borsa endeksi gibi yayınlarıyla dünya çapında tanınan Nikkei, gazetecilik kaynakları veya habercilik faaliyetleriyle ilgili hiçbir bilginin tehlikeye atılmadığını doğrulamış olsa da çalınan bilgiler hâlâ bir sorun olmaya devam ediyor.
Müdahale ve Risk Değerlendirmesi
Nikkei hemen harekete geçerek şifre sıfırlama ve diğer kontrol önlemlerini uygulamaya koydu. Japon yasaları, editoryal amaçlarla toplanan verilerin ifşa edilmesini kesin olarak gerektirmese de, şirket, olayın önemi ve şeffaflığa olan bağlılığı göz önüne alındığında, Japonya’daki Kişisel Bilgilerin Korunması Komisyonu’nu gönüllü olarak bilgilendirdi. Yayıncı ayrıca güçlü bir yetkili yayınladı. ifade:
Şirket, “Kaynaklar veya raporlama faaliyetleriyle ilgili herhangi bir bilgi sızıntısı doğrulanmadı. Bu olayı ciddiye alıyoruz ve herhangi bir tekrarı önlemek için kişisel bilgi yönetimini daha da güçlendireceğiz” dedi.
Bunun Nikkei için ilk güvenlik sorunu olmadığını belirtmekte fayda var; şirket, Ticari E-posta Güvenliği (BEC) dolandırıcılığı nedeniyle Eylül 2019’da yaklaşık 29 milyon dolar kaybetti. Hackread.com’a göre rapor 2019’dan itibaren bu BEC dolandırıcılığı, bir çalışanın, yönetici kimliğine bürünerek fonları kontrollü bir banka hesabına aktarması için dolandırıcılar tarafından kandırılmasını içeriyordu.
Bu, Asya-Pasifik (APAC) bölgesindeki bir haber kaynağının bilgisayar korsanları tarafından hedef alındığı ilk sefer değil. Haziran 2024’te, Asya’daki startupları ve inovasyonu kapsayan bir teknoloji haber platformu olan Tech in Asia, ihlal edildi221.470 kullanıcının kişisel verileri çalındı ve daha sonra internete sızdırıldı.
Uzman yorumu:
DeepTempo araştırma firmasının Kurucu Yapay Zeka Mühendisi Mayank Kumar, ihlal hakkında yorum yaptı ve bu saldırının neden bu kadar etkili olduğuna ilişkin görüşlerini Hackread.com ile paylaştı. Kumar, ilk kötü amaçlı yazılımın yalnızca küçük bir hamle olduğunu belirtti. Gerçek amaç, geçerli oturum açma bilgilerini çalmak, suçluların ağ içinde fark edilmeden faaliyet göstermesine ve “normal iş faaliyetlerine sorunsuz bir şekilde uyum sağlamasına” olanak sağlamaktı.
Kumar ayrıca şunu açıkladı: “SIEM (güvenlik bilgileri yönetimi) için oturum açma geçerliydi, dolayısıyla hiçbir kural tetiklenmezdi, ancak NDR (ağ algılama yanıtı) için trafik şifrelendi ve bu da yük denetimini imkansız hale getirdi.”
Kritik zorluğun artık sadece virüsleri durdurmak olmadığını, aynı zamanda yetkili bir kullanıcının normal faaliyetlerinden temelde farklı bir eylem (17.000 kaydın kazınması gibi) gerçekleştirdiğini fark etmek olduğunu ekledi.