Havacılık endüstrisi için endişe verici bir gelişme olarak Korean Air, yaklaşık 30.000 mevcut ve eski çalışanın kişisel bilgilerinin çalındığını doğruladı. 29 Aralık 2025’te paylaşılan bu haber, bu ayın başlarında Güney Kore’nin Asiana Havayolları’nda 10.000 personel kaydının ele geçirildiği benzer bir güvenlik sorununun ardından geliyor.
İhlal nasıl gerçekleşti?
Korea JoongAng Daily, verilerin doğrudan Korean Air’in ana sistemlerinden alınmadığını bildirdi. Bunun yerine bilgisayar korsanları, KC&D Service (Kore Hava İkram Hizmetleri ve Duty-Free) adlı bir şirketi hedef aldı.
Bu şirket eskiden Korean Air’in bir bölümüydü ancak 2020 yılında Hahn & Company adlı özel bir yatırım grubuna satıldı. Satışa rağmen, KC&D hâlâ havayolu için uçak içi yemek ve gümrüksüz malların satışını yapıyor ve Korean Air hâlâ bu işte %20 hisseye sahip.
Bildirimde, “Şirketimizden 2020 yılında ayrılan ve ayrı bir varlık olarak faaliyet gösteren uçak içi yemek ve uçak içi satış şirketi KC&D Service (KC&D)*, yakın zamanda harici bir bilgisayar korsanı grubu tarafından saldırıya uğradı. Bu süreçte, çalışanlarımızın şirketin ERP sunucusunda depolanan kişisel bilgilerinin (isimleri, hesap numaraları) sızdırıldığı anlaşıldı.”
Saldırganların, muhtemelen Oracle E-Business Suite (EBS) adı verilen popüler bir iş yazılımındaki bir güvenlik açığından yararlanarak KC&D’nin ERP sunucusuna (şirket kaynaklarını yönetmek için kullanılan ana sistem) sızdıkları bildirildi.
CVE-2025-61882 olarak izlenen bu özel güvenlik açığı, bilgisayar korsanlarının güvenlik kontrollerini atlamasına ve bir kullanıcı adı veya parolaya ihtiyaç duymadan sunucunun kontrolünü ele geçirmesine olanak vermiş olabilir. Aynı güvenlik açığı daha önce saldırganların American Airlines’ın en büyük taşıyıcısı olan Envoy Air’e sızmasına olanak tanımıştı.
Kim Sorumlu?
Bu şüphe, Cl0p çetesi olarak bilinen kötü şöhretli dijital gaspçı grubun bu veri ihlalinin sorumluluğunu üstlenmesi nedeniyle ortaya çıkıyor. Hackread.com’un son raporu, yüksek değerli kuruluşları hedef almasıyla ünlü, Rusça konuşan bir çete olan Cl0p’nin, Ağustos başından bu yana bu Oracle yazılım kusurundan yararlandığını ortaya koyuyor.
Cl0p, Envoy Air (American Airlines’ın bir yan kuruluşu), Harvard Üniversitesi, Pensilvanya Üniversitesi, The Washington Post ve Logitech dahil olmak üzere dünya çapındaki kuruluşları hedeflemek için aynı yöntemi kullandığından Korean Air, kurbanlarından yalnızca biri.
Bu örnekte grup, etkilenen şirketlerin fidye ödemeyi reddetmesi nedeniyle halihazırda yaklaşık 500 GB çalınan dosyayı karanlık ağda yayınlamaya başladı.
Hangi bilgiler alındı?
Çalınan verilerin, şirketin kaynak planlama sisteminde saklanan çalışan adları ve banka hesap numaraları gibi çok hassas ayrıntıları içerdiği bildiriliyor. Bu durum personel için büyük bir endişe kaynağı olsa da havayolu, uçuş rezervasyonları veya kredi kartı bilgileri gibi müşteri verilerinin bu spesifik olaydan etkilenmediği konusunda kamuoyuna güvence vermekte hızlı davrandı.
Korean Air’in başkan yardımcısı Woo Kee-hong, ekibine kişisel bir mesaj göndererek şirketin konuyu “çok ciddiye aldığını” açıkladı.
“Korean Air bu olayı çok ciddiye alıyor, özellikle de bu olay, satılmış bir üçüncü taraf satıcıdan kaynaklansa bile çalışan verilerini içerdiği için. Şu anda tüm çabalarımızı ihlalin tüm kapsamını ve kimin etkilendiğini belirlemeye odaklıyoruz.”
Havayolu, acil durum güvenlik güncellemelerini çoktan tamamladı ve daha fazla veri sızıntısını önlemek için KC&D ile dijital bağlantıları kesti. Ayrıca durumu Kore İnternet ve Güvenlik Ajansı’na (KISA) da bildirdiler ve artık çalışanları, takip eden bir dolandırıcılığın parçası olabilecek şüpheli kısa mesajlar veya e-postalar konusunda son derece dikkatli olmaları konusunda uyarıyorlar.
Güney Kore ve Güncel Veri İhlalleri
Güney Kore, büyük ölçekli veri ihlallerinin ve siber saldırıların merkez üssü oldu. Aralık 2025’in başlarında, ülkenin Amazon’a alternatif alışveriş devi Coupang, 33,7 milyon kullanıcısının tamamının verilerinin çalınmasına neden olan bir veri ihlali yaşadı. Günler sonra şirketin ofisleri basıldı ve CEO’su Park Dae-jun istifa etmek zorunda kaldı.
Mayıs 2025’te Güney Koreli telekomünikasyon devi SK Telecom, yaklaşık iki yıl boyunca gizli kalan ve 26,69 milyon IMSI biriminin ve 9,82 GB USIM verisinin sızdırılmasına yol açan bir kötü amaçlı yazılım saldırısını ortaya çıkardı.