Yakın zamanda yapılan bir vahiyde Google, dahili veritabanlarından birinin iyi bilinen bir siber suçlu kuruluşu tarafından ihlal edildiğini doğruladı. Shinyhunters (veya UNC6040) olarak bilinen grubun faaliyetlerini zaten araştıran Google Tehdit İstihbarat Grubu (GTIC), kendi Salesforce veritabanına Haziran ayında erişildiğini açıkladı. Saldırı, Google’ın küçük ve orta ölçekli işletme müşterilerine ait bilgileri ortaya çıkardı.
Şirket, ihlalin hızlı bir şekilde içerdiğini ve bilgisayar korsanlarının sadece “küçük bir zaman penceresi” için erişebildiğini belirtti. Çalıntı veriler, işletme adları, iletişim bilgileri ve ilgili bazı notlardan oluşan “temel ve büyük ölçüde kamuya açık” olarak tanımlanmıştır. Google, ihlalin tam ölçeğini açıklamasa da, olay teknoloji devleri de dahil olmak üzere tüm işletmeler için artan bir güvenlik endişesini vurgulamaktadır.
Aldatma, teknik kusurlar değil
Bu saldırı, bir yazılım kusurundan yararlanan geleneksel bir hack değil, sofistike bir sosyal mühendislik planıydı. Bilgisayar korsanları, bir şirketin BT destek personelini bir telefon görüşmesinde taklit ettikleri Vishing (Voice Kimlik avı) adlı bir yöntem kullandılar.
Çağrı sırasında, bir Google çalışanını meşru bir araç olan Salesforce Veri Yükleyicisi olarak gizlenmiş kötü amaçlı bir uygulamayı onaylamaya kandırdılar. Bu hileli uygulama, bilgisayar korsanlarına veritabanına erişim sağlayarak bilgi çalmalarını sağladı.
Google Tehdit İstihbarat Grubu’nun (GTIG) araştırmasına göre, UNC6040 müdahalelerden sorumlu iken, ayrı bir grup olan UNC6240, 72 saat içinde bitcoin ödemelerini talep ederek gaspları ele alıyor. Şirket ayrıca bilgisayar korsanlarının araçlarını güncellediği konusunda uyarıyor ve kurbanlara baskı yapmak için bir veri sızıntı sitesi (DLS) başlatmayı planlıyor olabilir.
“Google’ın Shinyhunters tarafından yürütülen son saldırı dalgasında veri ihlali yaşadığı haberi, hiçbir kuruluşun siber suçlara karşı bağışık olmadığını vurgulamaktadır.“ dedi William Wright, kapalı kapı güvenliği CEO’su. “Küçük bir işletme veya dünyanın önde gelen teknoloji firmalarından biri olmanız önemli değil, tüm kuruluşlar savunmasız.“
Ayrıca, çalışan eğitimi ve MFA kullanımının bu saldırıları erken aşamalarında engellemenin anahtarı olduğunu vurguladı.
Daha büyük ve büyüyen bir tehdit
Bu ihlal, Shinyhunters grubunun daha büyük bir saldırı eğiliminin bir parçasıdır. Geçtiğimiz yıl boyunca, Hackread.com, grubun Mayıs 2024’te Santander Bank’ta büyük bir ihlal ve küresel olarak 560 milyondan fazla müşteriyi etkileyen Ticketmaster’da bir diğeri de dahil olmak üzere birkaç yüksek profilli olayla bağlantılarını bildirdi.
Lüks moda markası Chanel’in yakın zamanda Temmuz ayında bir veri ihlali yaşadığını ve üçüncü taraf Salesforce veritabanı aracılığıyla bazı ABD müşterilerini etkilediğini açıkladığı için tehdit hala aktif. Google’ın raporu ayrıca Shinyhunters’ın bir genel veri sızıntı sitesi başlatarak faaliyetlerini artırmayı planlayabileceği konusunda da uyarıyor.
Saldırıya yanıt olarak Google, sistemlerini güvence altına almanın ve etkilenen müşterileri bilgilendirmenin derhal harekete geçtiğini söyledi. Şirket ayrıca diğer işletmelere benzer sosyal mühendislik saldırılarını önlemek için daha iyi çalışan eğitimi, çok faktörlü kimlik doğrulama ve daha katı erişim kontrolleri ile savunmalarını güçlendirmelerini tavsiye ediyor.