Coca-Cola ve şişeleme ortağı Coca-Cola Europacific Partners (CCEP), iki farklı tehdit grubundan ayrı siber saldırı iddialarıyla karşı karşıya. Everest fidye yazılımı çetesi, Coca-Cola’nın sistemlerini ihlal ettiğini söylerken, Gehenna (diğer adıyla Ghna) adlı başka bir grup, CCEP’nin Salesforce ortamından çalınan büyük bir veritabanı olduğunu iddia ettiği şeyi sunuyor.
Everest fidye yazılımı Coca-Cola’yı hedefliyor
Everest fidye yazılım grubu, Coca-Cola’yı karanlık web sızıntı sitesinde kurban olarak listeledi ve 959 çalışanın iç belgelerine ve kişisel bilgilerine erişimi öneren ekran görüntülerini paylaştı. Bunlar vize ve pasaport taramaları, maaş verileri ve İK ile ilgili diğer kayıtları içerir.
Hackread tarafından incelenen örneklere göre, ihlal, Coca-Cola’nın Orta Doğu’daki operasyonlarını etkiliyor gibi görünüyor, birkaç dosya Dubai Havaalanı Serbest Bölgesi’ndeki (DAFZ) Dubai Ofisi’nin özel bir hedef olabileceğini gösteriyor.
Everest, çalışan kimlik detayları ve tipik olarak İK departmanlarında dolaşan belgeler içeren örnekler yayınladı. Sızan dosyaların doğası, kişisel olarak tanımlanabilir bilgilerin (PII) dahil olduğunu gösterir.
Colortokens Başkan Yardımcısı Ciso Danışmanlığı Sn. Agnidipta Sarkar, taktiklere yorum yaptı: “İlk araştırma, kimlik bilgilerini hasat etmek ve Active Directory’yi hedeflemek gibi taktiklere işaret ediyor, ancak bu iddialar her zaman güvenilir değilse, bu saldırı COCA-COLA’nın cyeranity yatırımlarının bunu durdurmak için yeterli olmayabileceğini gösteriyor.
Gehenna, Coca-Cola Europacific Partners’da büyük ihlal iddia ediyor
Ayrı bir olayda, Gehenna Hacking Group bu ayın başlarında CCEP’nin Salesforce kontrol panelini ihlal ettiğini iddia ediyor. Grup, hassas Müşteri İlişkileri Yönetimi (CRM) verilerini içeren 2016’ya kadar uzanan 23 milyondan fazla rekoru açıkladığını söylüyor.
Verilerde 7,5 milyon Salesforce hesap kaydı (6GB), 9.5 milyon müşteri hizmetleri vakası (52GB), 6 milyon iletişim girişi (5GB) ve 400.000’den fazla ürün kaydı (300MB) içermektedir.
Gehenna, Coca-Cola Enterprises Norveç’e referans alan vaka günlüklerini içeren, müşteri destek geçmişi ve iletişim bilgileri ile tamamlanan bir genel veri ihlali forumunda örnekleri paylaştı.
Grup ayrıca CCEP çalışanlarına yönelik bir mesaj yayınladı, “tekliflere açık olduklarını” ve “bunun nereden geldiğine daha fazla sahip olduklarını” söyledi. Gehenna ayrıca Samsung Almanya ve Royal Mail’i etkileyen önceki olayların sorumluluğunu üstlenerek ifadelerinin ciddiyetine ağırlık ekledi.
Grup ayrıca Telegram aracılığıyla iletişim bilgileri sağladı ve Coca-Cola Europacific Partners’dan aktif olarak bir yanıt talep ediyor gibi görünüyor.
Her iki olay da büyük çokuluslu şirketleri hedefleyen siber saldırılarda, özellikle müşteri ve çalışan verilerini ölçekte tutan bir artıştan kaynaklanmaktadır. Everest ve Gehenna tarafından kullanılan taktikler farklı yaklaşımları, fidye yazılımı gasp ve veri sızıntısı tabanlı basıncı yansıtır, ancak amaç çalıntı bilgilerden para kazanmaya benzer.
Coca-Cola ve CCEP, yazma sırasında ihlali kamuya açıklamamışlardır.
Bambenek Consulting’in başkanı John Bambenek, bulut platformları ile daha geniş bir riski kaydetti: “Şirketler daha fazla SaaS çözümleri benimsedikçe, tehdit aktörleri için yeni kapılar açıyor. SaaS platformları genellikle geleneksel altyapının sağladığı tomruk ve güvenlik görünürlüğünden yoksun.”
“Kuruluşların SaaS günlüklerini SIEM’lerine entegre etmeleri ve tek bir kullanıcı hesabından büyük ölçekli veri aramaları gibi şüpheli davranışlar için tespit yapmayı önceliklendirmeleri gerektiğini” tavsiye etti.
Bununla birlikte, her iki grup da aktif ve iyi kaynaklı görünmektedir. İster kolluk davası ister iç yanıt yoluyla, kamuya açık bir beyan, iddiaların arkasındaki gerçek etkiyi netleştirmeye yardımcı olabilir.