D-Link, çalışan kimlik avı saldırısının ardından veri ihlalini doğruladı


D-Link

Tayvanlı ağ ekipmanı üreticisi D-Link, ağından çalınan ve bu ayın başlarında BreachForums’ta satışa sunulan bilgilerle bağlantılı bir veri ihlalini doğruladı.

Saldırgan, D-Link’in D-View ağ yönetim yazılımının kaynak kodunun yanı sıra, şirketin CEO’sunun ayrıntıları da dahil olmak üzere müşterilerin ve çalışanların kişisel bilgilerini içeren milyonlarca girişi çaldığını iddia ediyor.

Çalınan verilerin isimleri, e-posta adreslerini, adresleri, telefon numaralarını, hesap kayıt tarihlerini ve kullanıcıların son oturum açma tarihlerini içerdiği iddia ediliyor.

Tehdit aktörü, 2012 ile 2013 yılları arasında zaman damgası içeren 45 çalıntı kayıttan örnekler sunmuş ve bu durum, yazışmadaki başka bir katılımcının verilerin çok eski göründüğü konusunda yorum yapmasına neden olmuştur.

Saldırgan, “Tayvan’daki D-Link’in dahili ağını ihlal ettim, 3 milyon satırlık müşteri bilgilerim var ve D-View’in kaynak kodu sistemden çıkarıldı” dedi.

“Bu, Tayvan’daki BİRÇOK hükümet yetkilisinin yanı sıra şirketin CEO’ları ve çalışanlarının bilgilerini de içeriyor.”

Veriler 1 Ekim’den bu yana bilgisayar korsanlığı forumunda satın alınabiliyor ve tehdit aktörü, çalınan müşteri bilgileri ve iddia edilen D-View kaynak kodu için 500 dolar talep ediyor.

D-Link'in çalınan verileri satışa çıkıyor
D-Link’in çalınan verileri satışa sunuldu (BleepingComputer)

​Bir “test laboratuvarı” sisteminden çalınan veriler

D-Link, güvenlik ihlalinin, bir çalışanın kimlik avı saldırısına kurban gitmesi ve saldırganın şirket ağına erişmesine izin vermesi nedeniyle meydana geldiğini söyledi.

İhlal karşısında şirket, potansiyel olarak etkilenen sunucuları derhal kapattı ve soruşturma sırasında kullanılan iki kullanıcı hesabı dışında tüm hesapları devre dışı bıraktı.

D-Link, ihlali doğrularken, saldırganın “test laboratuvar ortamı” olarak tanımladığı ve 2015 yılında ömrünün sonuna gelmiş eski bir D-View 6 sistemi üzerinde çalışan bir ürün kayıt sistemine eriştiğini belirtti.

D-Link’in ağında kullanım ömrü sona eren bir sunucunun hala çalışır durumda olmasının ve potansiyel olarak yedi yıl boyunca İnternet erişimine açık kalmasının nedeni belirsizliğini koruyor.

Saldırganın milyonlarca kullanıcının verilerini çaldığı iddiasının aksine D-Link, ele geçirilen sistemin en az yedi yıllık hesaplara ilişkin bilgiler içeren yaklaşık 700 kayıt içerdiğini söyledi.

D-Link, “Ancak incelemelere göre, en az yedi yıldır aktif olmayan yaklaşık 700 güncelliğini yitirmiş ve parçalanmış kayıt içeriyordu.” dedi.

“Bu kayıtlar, 2015 yılında kullanım ömrünün sonuna ulaşan bir ürün kayıt sisteminden alınmıştır. Ayrıca verilerin çoğunluğu düşük hassasiyetli ve yarı kamuya açık bilgilerden oluşuyordu.”

D-Link ayrıca tehdit aktörünün daha yeni bir veri hırsızlığı yanılsaması yaratmak için son oturum açma zaman damgalarını kasten değiştirdiğinden şüpheleniyor. Ayrıca şirket, mevcut müşterilerinin çoğunun bu olaydan etkilenme ihtimalinin düşük olduğunu belirtti.



Source link