Google’ın yalnızca ABD’deki telekomünikasyon ve mobil internet hizmeti olan Google Fi, müşterilerini kişisel verilerinin birincil ağ sağlayıcılarından birindeki bir veri ihlali nedeniyle açığa çıktığını bildirdi ve bazı müşteriler SIM değiştirme saldırılarına izin verdiği konusunda uyardı.
Google, bu hafta Google Fi müşterilerine bir veri ihlali bildirimi göndererek, olayın telefon numaralarını, SIM kart seri numaralarını, hesap durumlarını (etkin veya etkin değil), hesap aktivasyon tarihini ve mobil hizmet planı ayrıntılarını ifşa ettiğini bildirdi.
Google, ihlal edilen sistemlerin tam adlar, e-posta adresleri, ödeme kartı bilgileri, SSN’ler, vergi kimlikleri, devlet kimlikleri, hesap şifreleri veya SMS ve telefon görüşmelerinin içeriği gibi hassas ayrıntıları tutmadığını açıkladı.
Açıklamada, “Olay müdahale ekibimiz bir soruşturma yürüttü ve yetkisiz erişimin meydana geldiğini belirledi ve söz konusu üçüncü taraf sistemdeki verilerin güvenliğini sağlamaya yönelik önlemleri belirlemek ve uygulamak ve potansiyel olarak etkilenen herkesi bilgilendirmek için birincil ağ sağlayıcımızla birlikte çalıştı.” müşterilere duyuru.
“Google’ın sistemlerine veya Google tarafından denetlenen herhangi bir sisteme erişim yoktu.”
Google, ihlal edilen birincil ağ sağlayıcısının kim olduğundan bahsetmese de, T-Mobile’a atıfta bulunduğuna inanılıyor.
T-Mobile geçen ay, Kasım 2022’de yaklaşık 37 milyon abonenin kişisel bilgilerinin açığa çıkmasına neden olan bir API veri ihlali yaşadığını açıkladı.
Google’dan bunun T-Mobile ihlaliyle ilgili olup olmadığını doğrulamasını istedik ancak bir yanıt alamadık.
Veri ihlali, SIM takas saldırılarına yol açtı
Ne yazık ki, açığa çıkan teknik SIM verileri, tehdit aktörlerinin bazı Google Fi müşterilerine SIM takas saldırıları gerçekleştirmesine izin verdi ve bir müşteri, bilgisayar korsanlarının Authy MFA hesaplarına erişim elde ettiğini bildirdi.
SIM değiştirme saldırıları, tehdit aktörlerinin mobil operatörleri bir müşterinin telefon numarasını saldırganın kontrolü altındaki bir mobil SIM karta taşımaya ikna etmesidir.
Bu saldırılar, tehdit aktörünün müşteriyi taklit ettiği ve numaranın herhangi bir nedenle yeni bir cihaza taşınmasını talep ettiği sosyal mühendislik kullanılarak gerçekleştirilir. Mobil operatörü müşteri olduklarına ikna etmek için kimlik avı saldırılarına ve veri ihlallerine açık kişisel bilgiler sağlarlar.
Google Fi veri ihlali, bir müşterinin adıyla kolayca ilişkilendirilebilen telefon numaralarını ve SIM kartların seri numarasını içerdiğinden, bir mobil müşteri destek temsilcisiyle iletişime geçildiğinde bunu daha da ikna edici hale getirebilirdi.
Numara taşındığında, tehdit aktörleri kurbanın MFA kodları da dahil olmak üzere kısa mesajlarına erişerek çevrimiçi hesapları ihlal etmelerine veya bir kişinin telefon numarasıyla güvence altına alınan hizmetleri ele geçirmelerine olanak tanır.
Google, SIM takas saldırılarından etkilenen müşterilere ayrı bir bildirim göndererek, saldırganların kısa bir süre için numaralarını başka bir SIM’e taşımayı başardıklarını açıkladı. Ancak, kullanıcıların sesli mesajları ihlal edilmedi.
“1 Ocak 2023 tarihinde yaklaşık 1 saat 48 dakika süreyle cep telefonu hizmetiniz SIM kartınızdan başka bir SIM karta aktarılmıştır. Bu geçici aktarım sırasında, yetkisiz erişim, telefon numaranızın telefon aramaları ve metin mesajları göndermek ve almak için kullanılmasını içerebilir. SIM aktarımına rağmen sesli mesajınıza erişilemedi. Google Fi hizmetini SIM kartınıza geri yükledik.” – Google
SIM değiştirme saldırılarından zarar gören bir müşteri, Reddit’teki deneyimini paylaşarak, e-posta, finans ve Authy kimlik doğrulayıcı uygulama hesaplarının gerçek zamanlı olarak ele geçirildiğine tanık olduğunu söyledi.
“Bilgisayar korsanı bunu üç çevrimiçi hesabımı ele geçirmek için kullandı — birincil e-posta adresim, bir finans hesabı ve Authy kimlik doğrulayıcı uygulaması, bunların hepsi SMS’lerimi alabildiği ve bu nedenle SMS tabanlı 2-fac’i yendiği için.” Google Fi müşterisi.
İki faktörlü bir kimlik doğrulayıcı uygulaması ele geçirildiğinde, bilgisayar korsanlarının, özellikle bir telefon numarası kullanılarak kayıtlılarsa, diğer hesapları ele geçirmesi çok daha kolay hale gelir.
Google Fi’yi bilgilendirerek durdurma çabalarına rağmen, müşteri desteği tarafından dikkate alınmadığını söylüyor.