Siber güvenlik devi CrowdStrike, hassas dahili sistem bilgilerini kötü şöhretli bir bilgisayar korsanlığı grubuyla paylaştığı iddia edilen bir çalışanın işine son verdi.
Olay, “Dağınık Lapsus$ Avcıları” olarak bilinen tehdit grubu tarafından işletilen halka açık bir Telegram kanalında yayınlanan dahili ekran görüntülerinin sızdırılmasını içeriyordu.
Ekran Paylaşımı Yoluyla İçeriden Tehdit Tespit Edildi
Sızan görüntüler, çalışanların kurumsal uygulamalara erişmek için kullandığı Okta Tek Oturum Açma (SSO) paneli de dahil olmak üzere dahili kontrol panellerini gösteriyordu.
Bilgisayar korsanları, bu ekran görüntülerinin, Salesforce müşterileri tarafından kullanılan bir müşteri başarı platformu olan Gainsight’ta üçüncü taraf ihlali yoluyla elde edilen daha geniş bir uzlaşma olduğunu kanıtladığını iddia etti.
Ancak CrowdStrike, durumun teknik bir ihlalden ziyade insani güvenlik açığından kaynaklandığını savunuyor.
Raporlar, tehdit aktörlerinin ağa erişimi kolaylaştırmak için içerideki kişilere 25.000 dolar teklif ettiği iddiasını gösteriyor.
Bilgisayar korsanları kimlik doğrulama çerezleri aldıklarını iddia etse de, CrowdStrike’ın güvenlik operasyonları merkezi, herhangi bir kötü amaçlı erişim tam olarak kurulmadan önce etkinliği tespit etti.
CrowdStrike iddiaları hızla ele aldı ve sızdırılan görüntülerin sistemik bir ağa izinsiz girişten ziyade bir çalışanın ekranının resimlerini paylaşmasından kaynaklandığını açıkladı.
Bir CrowdStrike sözcüsü Cybersecurity News’e şunları söyledi: “Bilgisayar ekranının resimlerini harici olarak paylaştığını belirleyen dahili bir soruşturmanın ardından geçen ay içeriden şüpheli bir kişiyi tespit ettik ve sonlandırdık.
Sistemlerimizden hiçbir zaman ödün verilmedi ve müşterilerimiz baştan sona korunmaya devam etti. Konuyu ilgili kolluk kuvvetlerine havale ettik” dedi.
Bu olay, Scattered Spider, LAPSUS$ ve ShinyHunters üyelerinden oluşan ve kendi kendini “süper grup” olarak ilan eden Scattered Lapsus$ Hunters’ın daha büyük agresif kampanyasının bir parçası.
Grup yakın zamanda Gainsight ve Salesloft gibi üçüncü taraf satıcıları kullanarak büyük şirketleri hedef aldı.
Ekim 2025’te grup, Salesforce müşterilerinden yaklaşık 1 milyar kaydı sızdırdığını ve veri sızıntısı sitesinde Allianz Life, Qantas ve Stellantis gibi yüksek profilli kurbanları listelediğini iddia etti.
Grubun işleyiş tarzı genellikle yüksek basınçlı sosyal mühendislik ve çevre savunmalarını aşmak için içeriden kişilerin işe alınmasını içerir. Bu taktik 2025 yılında giderek daha yaygın hale geldi.
CrowdStrike, müşteri etkisi olmadan bu özel iç tehdidi başarılı bir şekilde kontrol altına alırken, etkinlik, yüksek riskli siber güvenlik ortamlarında işe alınan çalışanların oluşturduğu kalıcı tehlikeye dikkat çekiyor.
Gelişmiş sosyal mühendisliğin üç büyük siber suç çetesinin ortak kaynaklarıyla birleşmesi, bugün teknoloji şirketlerinin karşı karşıya olduğu tehdit ortamında önemli bir evrimi temsil ediyor.
Olay, hassas bilgilerin kötü niyetli aktörlere sızdırılmasından önce şüpheli davranışları tespit etmek için içeriden gelen tehditleri izlemenin ve güçlü tespit sistemleri uygulamanın kritik öneminin altını çiziyor.
CrowdStrike’ın hızlı tespiti ve müdahalesi, uygun güvenlik operasyonlarının daha ciddi olabilecek bir ihlali nasıl önleyebileceğini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.