Everest AT&T Kayıtlarını Sızdırdı, Dublin Havaalanı Yolcu Verileri İçin 1 Milyon Dolar Talep Etti

Rusça konuşan Everest fidye yazılımı grubu, AT&T Carrier’a ait olduğu iddia edilen bir veritabanını sızdırdığını iddia ediyor (att.jobs), telekom devinin resmi iş ve işe alım platformu. Site, başvuru sahipleri ve çalışanlar tarafından rollere başvurmak, özgeçmiş göndermek ve kariyerle ilgili bilgileri yönetmek için kullanılır.

Öte yandan fidye yazılımı grubu, 1,5 milyon Dublin Havalimanı yolcusunun iddia edilen kişisel bilgilerini 1 milyon dolara, 18.000 Air Arabia çalışanının verilerini ise 2 milyon dolara sunuyor.

AT&T Taşıyıcı Veritabanı

21 Ekim 2025’te başladı hackread.com rapor edildi grubun AT&T Carrier’dan veri çaldığını iddia etti. Sızan veritabanının, müşteri bilgilerinden ziyade işe alım, başvuru sahibi veya çalışan kayıtları gibi görünen yarım milyondan fazla kişinin kişisel ayrıntılarını içerdiği iddia ediliyor.

Grup, telekom devine yanıt vermesi ve kendileriyle iletişime geçmesi için altı gün süre verdi ve herhangi bir iletişim kurulmaması halinde verilerin sızdırılacağı uyarısında bulundu. Bugün, veriler gerçekten de çevrimiçi olarak yayınlandı. Hackread.com tarafından yapılan bir analiz, sızıntının biri başlıklı iki CSV dosyası içerdiğini ortaya çıkardı. user_list ve diğeri customer_list.

user_list dosyası 429.103 kişinin e-posta adresi, tam adı ve telefon numarası gibi kişisel verilerini içeriyor. Customer_list dosyasında 147.621 kişinin e-posta adresleri, telefon numaraları ve soyadları yer alıyor.

Hackread.com 24 Ekim 2025’te AT&T’ye ulaştı ancak şirket yanıt vermedi.

Dublin Havaalanı Yolcu Verileri

Everest fidye yazılımı grubu, 25 Ekim 2025’te karanlık web sitesinde Dublin Havaalanını kurban olarak listeledi ve şirkete yanıt vermesi için altı gün süre tanıdı. Gibi rapor edildi ile hackread.comGrup, 1,5 milyon (1 milyon 533 bin 900) yolcuya ait verilere sahip olduğunu iddia etti ve taleplerinin göz ardı edilmesi halinde bilgileri çevrimiçi olarak yayınlayacağı konusunda uyardı.

Ancak henüz belirsiz kalan nedenlerden dolayı grup, son tarihi kısalttı ve şimdi tüm veri setini 1 milyon dolara teklif ediyor. İddialarına göre verilerde şu bilgiler yer alıyor:

1. Ad Soyad
2. Uçuş tarihi
3. Yolcu Kimliği
4. Koltuk numarası
5. Uçuş numarası
6. Kalkış havaalanı kodu
7. Hedef havaalanı kodu
8. Hızlı izleme veya öncelik durumu
9. Bölme veya seyahat sınıfı
10. Zaman damgası ve barkod formatı
11. Kalkış tarihi ve iş istasyonu kimliği
12. Sık uçan havayolu şirketi, numarası ve kademesi
13. Operatör taşıyıcı ve pazarlama taşıyıcısı
14. Sıra numarası ve yolcu durumu
15. Sürüm numarası ve segment sayısı
16. Biniş kartı veren kuruluşun havayolu tanımlayıcısı
17. Ücretsiz bagaj hakkı ve bagaj etiketi numaraları
18. Biniş kartının veriliş tarihi ve belge türü
19. Havayolu sayısal kodu ve belge formu seri numarası
20. Check-in kaynağı ve biniş kartı düzenleme kaynağı
21. Check-in için kullanılan cihaz adı, cihaz kimliği ve cihaz türü
22. Birinci ve ikinci ardışık olmayan bagaj etiketi plaka numaraları
23. Seçici göstergesi ve uluslararası belge doğrulama durumu

İrlanda medyası da onaylandı siber saldırı.

Air Arabia Çalışan Verileri

Fidye yazılımı grubu ayrıca iddialar Ana merkezi Sharjah Uluslararası Havalimanı’nda bulunan, Birleşik Arap Emirlikleri merkezli düşük maliyetli havayolu şirketi Air Arabia’nın 18.000 çalışanına ait bilgilerin çalınması.

Bilgisayar korsanlarına göre çalınan kayıtlar hem kişisel hem de kurumsal çalışan bilgilerini içeriyor. Açığa çıkan verilerin, sahtekarlık veya kimliğe bürünme amacıyla kötüye kullanılabilecek kimlik, iletişim ve istihdam bilgilerini içerdiği görülüyor. Aşağıda her veri türünün muhtemelen temsil ettiği şey verilmiştir:

1. Durum – Çalışanın aktif, işten ayrılmış veya izinli olup olmadığı.
2. Kullanıcı Kimliği / Kullanıcı Adı – Saldırganların şirket sistemlerine erişmesine yardımcı olabilecek benzersiz dahili oturum açma tanımlayıcıları.
3. Ad, ikinci ad, soyadı, takma ad, son ek, unvan, cinsiyet – İK ve kimlik doğrulama sistemlerinde sıklıkla kullanılan standart kişisel tanımlayıcılar.
4. E-posta – Kimlik avı veya sosyal mühendislik saldırıları için yararlı olan birincil şirket veya kişisel e-posta adresi.
5. Yönetici, İK sorumlusu, departman, iş kodu, bölüm – Raporlama yapılarını ve şirket hiyerarşisini ortaya çıkaran organizasyonel ayrıntılar.
6. Konum ve saat dilimi – Bir çalışanın bulunduğu yeri daraltabilecek çalışma alanı veya bölgesel bilgiler.
7. İşe alınma tarihi – Çalışma süresini belirtir ve ikna edici sahte İK veya fayda mesajları hazırlanmasına yardımcı olabilir.
8. İş telefonu ve faks – Doğrudan iletişim hatları
9. Adres (1. ve 2. satırlar), şehir, eyalet, ZIP, ülke – Ev veya ofis konumlarını açığa çıkarabilecek tam fiziksel adres bilgileri.
10. Matris yöneticisi ve proxy – İkincil denetçiler veya hesap delegeleri, potansiyel olarak saldırganlara erişim için ekstra hedefler verir.
11. Varsayılan yerel ayar ve oturum açma yöntemi – Tek oturum açma veya parola sistemleri gibi, çalışanların nasıl kimlik doğruladığını gösterebilecek teknik ayarlar.
12. İnceleme sıklığı, son inceleme tarihi, şirket çıkış tarihi, İK performans verileri ve istihdam durumu göstergeleri.
13. Özel alanlar (Custom01–Custom15) – Hassas dahili notlar veya tanımlayıcılar içerebilecek ek İK veya sisteme özel veriler.
14. Harici Atama Kimliği – Çalışanı harici satıcılara veya yüklenicilere bağlayan benzersiz bir numara.
15. Oturma şeması – Fiziksel masa veya ofis konumu hakkında düzen ve personel ayrıntılarını açığa çıkarabilecek bilgiler.

Bu veriler de artık 2 milyon dolara satılıyor.

Everest fidye yazılımı grubunun öne sürdüğü iddialar, büyük şirketleri hedef alan yüksek profilli saldırıların sayısı giderek artıyor. Çalınan verilerin tamamının gerçek olup olmadığı belirsizliğini koruyor ancak doğrulanması halinde bunun etkisi hem çalışanlar hem de yolcular için ciddi olabilir. AT&T ve Air Arabia şu ana kadar grubun iddiaları hakkında yorum yapmadı.