Önde gelen siber güvenlik firması CrowdStrike kısa süre önce, gizli şirket bilgilerini büyük bir bilgisayar korsanlığı grubuyla paylaşan bir çalışanını işten çıkardığını doğruladı. Cuma günü kamuoyuna açıklanan bu olay, şirket içi insan riskinin teknik kusurlar kadar tehlikeli olabileceğini gösteriyor.
Sızan Veriler Hacker Channel’a Ulaştı
CrowdStrike’ın ‘şüpheli içeriden biri’ olarak tanımladığı işten çıkarılan çalışan, Scattered Lapsus$ Hunters adlı kötü şöhretli bir kolektife firmanın özel sistemleri hakkında bilgi verirken yakalandı.
Bilginiz olsun, bu grup yaygın olarak bir süper grup olarak biliniyor ve Scattered Spider, LAPSUS$ ve ShinyHunters gibi diğer önde gelen bilgisayar korsanlığı kuruluşlarının üyelerinden oluşuyor.
Daha sonra kolektifin halka açık Telegram kanalında ekran görüntüleri olarak yayınlanan çalınan bilgiler arasında dahili kontrol panellerinin görüntüleri de yer alıyordu. Bu görseller, en önemlisi Okta Tek Oturum Açma (SSO) paneli olmak üzere şirket kaynaklarına bağlantılar içeriyordu. Basitçe söylemek gerekirse SSO, çalışanların iş uygulamalarına erişmek için kullandıkları ana giriş sayfasıdır.
Hacker, CrowdStrike’ın Hızlı Savunmasına Karşı İddia Ediyor
Bilgisayar korsanları başlangıçta, Salesforce müşterilerinin müşteri yönetimi için sıklıkla kullandığı bir platform olan Gainsight adlı üçüncü taraf bir satıcıyı kullanarak CrowdStrike ağına erişim sağladıklarını iddia etti. Ayrıca, bir web sitesinde oturumunuzun açık kalmasını sağlayan küçük veri parçaları olan kimlik doğrulama çerezleri aldıklarını da iddia ettiler.
Ancak CrowdStrike temsilcileri herhangi bir başarılı teknik müdahaleyi şiddetle reddetti. Ekran görüntülerinin, sistemsel bir ağ ihlali değil, yalnızca içeriden birinin bilgisayar ekranının fotoğraflarını çekip bunları harici olarak paylaşmasının sonucu olduğunu açıkladılar. Daha ayrıntılı incelemeler, ShinyHunters grubunun iddiaya göre çalışana ağ erişimi için 25.000 dolar teklif ettiğini ortaya çıkardı.
Bilgisayar korsanları bazı oturum açma bilgilerini ele geçirmiş olsa da CrowdStrike, güvenlik operasyonları merkezinin olağandışı etkinliği herhangi bir zararlı erişim sağlanmadan önce hızlı bir şekilde tespit ettiğini belirtti. Bu, içeriden birinin geçen ay işine son verilmesine yol açtı.
Bir şirket sözcüsü, firmanın başarılı savunmasını vurguladı ve şöyle dedi: “Sistemlerimizden asla ödün verilmedi ve müşterilerimiz baştan sona korunmaya devam etti.”
Bu bölümün tamamı, yakın zamanda Salesloft ve Gainsight gibi dış satıcılarla olan sözleşmelerinden yararlanarak büyük şirketlere saldıran Scattered Lapsus$ Hunters grubunun daha geniş ve agresif çabalarıyla bağlantılı. CrowdStrike daha sonra davayı ilgili kolluk kuvvetlerine devretti.