DOGE, Sosyal Güvenlik Verilerini Buluta Yükledi

Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar

Ayrıca CIRO Phishing Breach, Ingram Micro Ransomware ve CVE Surge

Pooja Tikekar (@PoojaTikekar) •
22 Ocak 2026

ISMG her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini topluyor. Bu hafta, ABD Sosyal Güvenlik İdaresi bünyesindeki Hükümet Verimliliği Departmanı personeli, yetkisiz bir Cloudflare sunucusu aracılığıyla hassas verileri paylaştı. Kanada Yatırım Düzenleme Kurumu, kimlik avı ihlalinin 750.000 yatırımcıyı etkilediğini söyledi. Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Rusya bağlantılı hacktivist DDoS saldırılarının artması konusunda uyardı. Ingram Micro, çalışan kayıtlarını açığa çıkaran bir fidye yazılımı ihlalini açıkladı. CVE açıklamaları 2025’te %21 arttı. Güney Koreli SK Telecom rekor düzeyde bir sızıntı cezasına itiraz etti. Araştırmacılar kritik Chainlit kusurlarını açığa çıkardı ve Kuzey Koreli bilgisayar korsanlarının Microsoft VS Code iş akışlarını kötüye kullandığı konusunda uyardı.

Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?

ABD federal savcıları Cuma günkü mahkeme beyanında, paralı milyarder Elon Musk’un Hükümet Verimliliği Departmanı üyelerinin, federal siber güvenlik politikasını atlayarak Sosyal Güvenlik verilerini bir bulut sunucusuna kopyaladıklarını kabul etti.

Kabul, DOGE’yi federal gözetimin dışında kalan bir bulut sisteminde Sosyal Güvenlik verilerinin bir kopyasını oluşturmakla suçlayan Ağustos 2025 tarihli bir ihbar raporuyla devam ediyor (bkz.: İhbar: DOGE, Sosyal Güvenlik Verilerinin Canlı Kopyasını Oluşturdu).

Sosyal Güvenlik İdaresi, verilerin hala savcıların Cloudflare olarak tanımladığı üçüncü taraf bulut sağlayıcısında olup olmadığını belirleyemedi. 7 Mart 2025’ten 17 Mart 2025’e kadar DOGE çalışanlarının “üçüncü taraf sunucu aracılığıyla veri paylaşmak için bağlantılar kullandıklarını” belirledi.

Açıklama, Federal hükümetin, Sosyal Güvenlik İdaresi’ndeki DOGE faaliyetleriyle ilgili olarak federal sendikalar tarafından başlatılan devam eden davada yaptığı tekrarlanan yüz yüze konuşmalardan bir tanesi. Başkan Donald Trump tarafından yetkilendirilen Musk, 2025’in ilk yarısında, eleştirmenlerin daha sonra en az 21,7 milyar doların boşa harcandığı sonucuna vardığı bir girişimde, maliyet kesici olabilecek genç bir tugayı yönetti.

“Kayıt düzeltme bildirimi” niteliğindeki mahkeme dosyasında, bir DOGE çalışanının, seçim sonuçlarını bozmak amacıyla seçmen sahtekarlığına dair kanıt arayan bir siyasi savunuculuk grubuyla bir anlaşma imzaladığı da ortaya çıktı. Başvuruda, anlaşmanın seçmen kütüğü verilerini Sosyal Güvenlik verileriyle eşleştirme girişimi olabileceği belirtiliyor ancak federal kurum savcılara “SSA verilerinin savunuculuk grubuyla paylaşıldığına dair henüz bir kanıt görmediğini” söyledi.

Sosyal Güvenlik İdaresi, iki DOGE çalışanını, federal çalışanların partizan faaliyetlerini yasaklayan 1939 tarihli Hatch Yasası’nın olası ihlalleri nedeniyle ABD Özel Hukuk Bürosu’na yönlendirdiğini söyledi.

Başvuruda ayrıca, bir DOGE ekip üyesinin İç Güvenlik Bakanlığı’na ve Çalışma Bakanlığı’ndaki bir DOGE danışmanına, SSA’nın yaklaşık 1000 kişinin adını ve adresini içerdiğine inandığı şifreli, parola korumalı bir dosya gönderdiği 3 Mart 2025 tarihli bir e-posta da anlatılıyor. Teşkilat yetkilileri, içeriğini doğrulamak için dosyayı açamadı.

Savcılar ayrıca, bir federal yargıcın DOGE’nin erişimini iptal eden geçici bir yasaklama emri çıkarmasından sonra bile bir DOGE ekibi üyesinin Sosyal Güvenlik kartı başvurularını ve ölüm tarihlerini içeren “Numident” veri tabanına erişmeye devam ettiğini itiraf etti.

Kanada Yatırım Düzenleme Kurumu, kimlik avı tabanlı bir siber saldırının yaklaşık 750.000 Kanadalı yatırımcıyla bağlantılı hassas bilgileri açığa çıkardığı konusunda yatırımcıları uyarıyor.

İlk olarak Ağustos 2025’te açıklanan olay, verilere yetkisiz erişimi içeriyordu. O dönemde CIRO, kritik fonksiyonların mevcut olduğunu ve gerçek zamanlı hisse senedi piyasası gözetim operasyonlarının, sistemlerinde “aktif bir tehdit” olmadan normal şekilde devam ettiğini söyledi.

Açığa çıkan veriler; isimleri, iletişim bilgilerini, doğum tarihlerini, yıllık geliri, Sosyal Sigorta numaralarını, devlet tarafından verilen kimlik numaralarını, yatırım hesap numaralarını ve hesap özetlerini içerebilir. CIRO, şifreler, PIN’ler veya güvenlik soruları gibi oturum açma bilgilerini toplamadığını ve bunların ele geçirilmediğini söyledi.

Ulusal Siber Güvenlik Merkezi, İngiltere merkezli kuruluşların Rusya bağlantılı hacktivist gruplar tarafından aktif olarak sekteye uğratıldığı konusunda uyardı.

NCSC Pazartesi günü, Kremlin’e bağlı, kendine özgü hacktivist gruplar tarafından gerçekleştirilen hizmet reddi saldırılarında son zamanlarda yaşanan artışı vurgulayan bir uyarı yayınladı. Hedeflenenler arasında devlet kurumları, yerel yönetimler ve ulusal altyapı işletmecileri yer alıyor.

Danışma belgesinde, en az Mart 2022’den bu yana aktif olan NoName057(16) adlı hacktivist grubun NATO üye ülkelerine karşı çok sayıda ısrarlı saldırı düzenlediği belirtildi.

Siber güvenlik kurumu, kuruluşların trafik filtreleme, web uygulaması güvenlik duvarları kurma, olay müdahale planlaması ve hız sınırlayıcı politikalar yürürlüğe koyma yoluyla savunmaları güçlendirmesi ve hafifletme önlemleri alması gerektiğini söyledi.

Bilgi teknolojisi distribütörü Ingram Micro, kişileri Temmuz 2025’te gerçekleşen fidye yazılımı saldırısı ve ardından yaklaşık 42.000 kişiyi etkileyen ihlal konusunda bilgilendiriyor.

Bir ihlal bildirim mektubunda Ingram Micro, saldırganların bir dizi kişisel bilgi içeren belgeleri çaldığını söyledi. Şirkete göre çalınan veriler arasında isimler, doğum tarihleri, Sosyal Güvenlik numaraları, pasaport numaraları, ehliyet numaraları ve istihdamla ilgili veriler yer alıyor.

3 Temmuz 2025’teki saldırının ardından Ingram, ihlali kontrol altına almak amacıyla kritik sistemleri çevrimdışına aldı ve bu durum müşteriler için yaygın hizmet kesintilerine yol açtı. Etkilenen sistemleri ve operasyonları 9 Temmuz’a kadar geri yükledi.

Şirket, ihlalden 42.521 kişinin etkilendiğini hesaplıyor. İlk olarak Eylül 2024’te gözlemlenen fidye yazılımı çetesi SafePay, 3,5 terabayt veriyi sızdırdığını iddia ederek Ingram’ı Temmuz ayında sızıntı sitesinde listeledi. Grup daha sonra çalınan verileri yayınladı ve bu da Ingram’ın fidye taleplerini karşılamayı reddettiğini öne sürdü.

Ingram Micro, 23.000’den fazla kişiyi istihdam ediyor ve dünya çapında 161.000’den fazla müşteriye hizmet veriyor; 2024’te 48 milyar dolarlık net satış bildirdi.

Cisco tehdit tespit ve müdahale baş mühendisi Jerry Gamblin tarafından yapılan analize göre, güvenlik açığı açıklamaları 2025’te tekrar arttı ve yıllık CVE hacmi, bir önceki yıla göre %20,6 artışla 48.185 yayınlanmış girişe ulaştı.

Bilinen güvenlik açıkları 3.984 kritik ve 15.003 yüksek önemdeki güvenlik açığını kapsıyor ve ortalama CVSS puanı 6,60.

Açıklama hacmi de yıl boyunca yoğun bir şekilde kümelendi. Yalnızca Aralık ayı, yıllık toplamın %11’inden fazla olan 5.500 CVE’yi oluşturdu. En yoğun gün, 793 CVE’nin yayınlandığı 26 Şubat’tı. CVE yayını da öngörülebilir yayın döngülerini takip etti; 2025’te Salı günleri 11.754 CVE’ye karşılık gelirken hafta içi ortalama 8.918 CVE’ye karşılık gelirken hafta sonları 1.796 oldu.

Ancak defans oyuncuları için en büyük sorun hızdır. VulnCheck, 2025’in ilk üç ayında vahşi istismara ilişkin ilk kez halka açık kanıtlarla 159 CVE’yi takip etti ve %28,3’ünün ifşa edildikten sonraki bir gün içinde istismar edildiğini tespit etti. Ayrıca, istismar edilen güvenlik açıklarının %25,8’inin hala Ulusal Güvenlik Açığı Veritabanında analiz edilmeyi beklediğini ve bu durumun, yanıt süresinin en önemli olduğu zaman aralığında puanlamanın ve meta verilerin değerini sınırladığını bildirdi.

Yonha Haber Ajansı’nın Pazartesi günü bildirdiğine göre, Güney Koreli SK Telecom, 23 milyon mobil abonesinin tamamını etkileyen bir veri ihlali sonrasında ülkenin gizlilik gözlemcisi tarafından uygulanan 135 milyar won (91 milyon dolar) tutarındaki cezaya itiraz etti.

Düzenleyiciler, evrensel abone kimlik modülü verilerinde büyük bir sızıntının meydana gelmesinden aylar sonra ortaya çıkmasının ardından telekom şirketine para cezası verdi. Gecikmiş kabul, daha geniş bir soruşturmayı tetikledi ve operatörün her müşteriye ücretsiz USIM değişimi sunmasına neden oldu.

Bu ceza, Güney Kore veri koruma otoritesi tarafından 2020’de kurulduğundan bu yana verilen en büyük ceza olup, düzenleyicinin 2022’de teknoloji devleri Google ve Meta’ya uyguladığı toplam 100 milyar wonluk yaptırımın üstüne çıktı.

Ekim 2025’te güvenlik araştırmacıları, kendisine CoinbaseCartel adını veren bir fidye yazılımı grubunun, güvenliği ihlal edilmiş bir Bitbucket hesabı aracılığıyla SK Telecom’un ağlarına sızdığını ve 19,6 megabayt kaynak kodunu, proje dosyalarını, Dockerfiles’ı ve AWS anahtarlarını çaldığını iddia ettiğini bildirdi.

Zafran Labs’taki güvenlik araştırmacıları, açık kaynaklı yapay zeka çerçevesi Chainlit’te iki kritik güvenlik açığını ortaya çıkardı ve bunların hassas verileri açığa çıkarabileceği ve bulut hesabının ele geçirilmesini mümkün kılabileceği konusunda uyardı.

Araştırmacılar, ChainLeak olarak adlandırılan ve CVE-2026-22218 ve CVE-2026-22219 olarak takip edilen kusurların internete yönelik Chainlit dağıtımlarını etkilediğini ve kullanıcı etkileşimi olmadan tetiklenebileceğini söyledi. Chainlit bir yama yayınladı.

Chainlit, geliştiriciler tarafından üretim tarzı AI sohbet uygulamalarını hızlı bir şekilde başlatmak için yaygın olarak kullanılıyor ve genellikle istemleri, konuşma geçmişini ve API kimlik bilgilerini işleyen iş akışlarının önünde yer alan ortak büyük dil modeli yığınlarına yerleştirilmiştir.

CVE-2026-22218, Chainlit’in sohbet mesajlarına eklenen “öğeleri” nasıl işlediğine bağlı, rastgele bir dosya okuma güvenlik açığıdır. Kötüye kullanarak /project/element Uç nokta ve öğe parametrelerini manipüle eden bir saldırgan, Chainlit’in okuduğu ve saldırganın oturumuna kopyaladığı dosya yolunu etkileyebilir. Bu, ortama bağlı olarak uygulama verileri ve potansiyel kimlik bilgileri de dahil olmak üzere Chainlit sunucusu tarafından erişilebilen dosyaların alınmasına olanak tanır.

Çok kiracılı kurulumlarda risk artar. Araştırmacılar, Chainlit’in LangChain önbelleğe alma özelliği etkinken kullanıldığında, istemlerin ve yanıtların yerel olarak bir SQLite veritabanında saklanabileceği konusunda uyardı .chainlit/.langchain.db. Dosya okuma sorunu nedeniyle ortaya çıkarsa, bu durum zaman içinde kullanıcı istemlerinin ve çıktılarının kiracılar arası sızıntısına neden olabilir.

CVE-2026-22219, Chainlit’in SQLAlchemy entegrasyonundaki sunucu tarafı istek sahteciliği kusurudur. Sunucuyu dahili kaynaklara giden istekleri başlatmaya zorlayan, özel ağları ve bulut meta veri hizmetlerini araştırmak için bir yol oluşturan hazırlanmış bir URL kullanılarak tetiklenebilir.

Zafran, güvenlik açıklarının daha geniş bir sorunu yansıttığını söyledi: Geleneksel web kusurları, yapay zeka uygulama altyapısına giderek daha fazla yerleşiyor ve hızlı hareket eden yapay zeka dağıtımlarını yüksek etkili saldırı yüzeylerine dönüştürüyor.

Jamf Threat Labs’ın araştırmasına göre, Kuzey Kore ile bağlantılı tehdit aktörleri, görünürde meşru geliştirici iş akışları yoluyla kötü amaçlı yazılım yürütmek için Microsoft Visual Studio Code’un kötüye kullanımını artırıyor.

Faaliyet, sahte işe alım görevlileriyle hedefleri cezbeden ve sözde bir teknik görevin parçası olarak onlardan kötü amaçlı Git depolarını klonlamalarını ve açmalarını isteyen “Bulaşıcı Mülakat” kampanyasına dayanıyor. Bulaşıcı Röportaj aynı zamanda EtherRAT adı verilen bir macOS uzaktan erişim Truva Atı’nın teslim edilmesiyle de ilişkilendirildi ve kimlik bilgileri hırsızlığından kalıcı uç nokta güvenliği ihlallerine geçişin sinyalini verdi (bkz.: Kuzey Koreli Hackerlar React2Shell Hedeflerini Vurdu).

Jamf, bir kurban projeyi Visual Studio Code’da açtığında ve depoya güvendiğinde editörün otomatik olarak bir dosyayı işleyebileceğini söyledi. tasks.json saldırgan tarafından kontrol edilen komutlar içerebilecek yapılandırma dosyası. Saldırganların, uzak bir JavaScript verisini getiren ve bunu doğrudan node.js çalışma zamanı. Veri yükü kalıcılık sağlar, ana bilgisayarın parmak izlerini alır ve talimatlar için bir komut ve kontrol sunucusunu yoklayarak uzaktan kod yürütülmesini sağlar.

Araştırmacılar ayrıca barındırılan altyapıyı da işaretledi vercel.appBu, operatörlerin geliştirici dostu barındırma platformlarına doğru daha geniş bir değişimi yansıtıyor.

Bu Haftanın Diğer Hikayeleri

New Jersey’deki Bilgi Güvenliği Medya Grubu’ndan Gregory Sirico’nun raporuyla.