Siber suç, sahtekarlık yönetimi ve siber suç
Shinyhunters tekrar vurmuş olabilir
Mathew J. Schwartz (Euroinfosec) •
7 Ağustos 2025
Avrupa Havayolları Air France ve KLM, Salesforce müşterilerinin verilerine erişim sağlama konusunda uzmanlaşmış olan siber suç grubunun Shinyhunters adını veren bir veri ihlali olayının kurtarma aşamasındadır.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Havayolları “müşteri hizmetleri için kullandığımız harici bir platformda olağandışı etkinlik tespit etti” dedi. “BT güvenlik ekiplerimiz, ilgili dış tarafla birlikte, yetkisiz erişimi durdurmak için derhal harekete geçti.”
Merkezi Paris’te bulunan Air France-KLM Grubu, 574 uçaktan oluşan bir filo işletiyor ve 2024’te 98 milyon yolcuyu 320 destinasyona taşıdı.
Havayolları hangi müşteri hizmeti platformunun ihlal edildiğini belirtmedi. Salesforce, havayollarını müşteri olarak görüyor. Shinyhunters olarak bilinen siber suçluların gevşek bir şekilde toplanmasının bilgisayar korsanları, Salesforce müşterilerini hedefleyen bir dizi sosyal mühendislik saldırısı yürütüyor. Son kurbanlar arasında teknoloji devleri Google ve Cisco ve Avustralya Havayolu Quantas yer alıyor.
Air France-KLM Grubu, kaç müşterinin ihlalden etkilendiğine veya Salesforce’u içeriyorsa yorum talebine hemen yanıt vermedi.
Havayolları hangi bilgilerin çalındığını detaylandırmadı. Kuruluşların Salesforce verilerinin son ihlalleri, e -posta adresleri de dahil olmak üzere isimlerin ve iletişim bilgilerinin maruz kalmasına neden olmuştur.
Havayolları, “Verilerine erişilmiş olabilecek müşterilere şu anda bilgilendiriliyor ve şüpheli e -postalar veya telefon görüşmeleri için ekstra uyanık olmaları tavsiye ediliyor.” Dedi.
Saldırganlar Salesforce kullanıcılarını hile
Birden fazla kuruluş, saldırganların müşteri destek personelini Voice kimlik avı olarak bilinen sosyal mühendislik taktiği aracılığıyla Salesforce CRM yazılım örneğine erişim sağlamaları için kandırdıktan sonra ihlal edildiğini bildirdi.
Google, bilgisayar korsanlarının kurban organizasyonlarını Salesforce’un “Mağdur Kuruluşlardan gelen Salesforce verilerini sunmak” için değiştirilmiş, yetkisiz bir sürümünü bağlamalarına izin verdiklerini tespit ederek saldırıları araştırdı. Google Salı günü, Haziran ayında, UNC6040 olarak izlediği parlak avcıların kurbanı olduğunu bildirdi (bakınız: Google ve Cisco Raporu CRM yazılımı Vishing aracılığıyla ihlal ediyor).
Son zamanlarda Salesforce örneklerine karşı Shinyhunters saldırılarının yaptığı diğer kuruluşlar arasında sigortacı Allianz Life, perakendeciler Adidas ve Victoria’s Secret, LVMH markaları Dior, Louis Vuitton ve Tiffany ve potansiyel olarak Danimarkalı mücevher şirketi Pandora yer alıyor.
Cuma günü lüks marka Chanel, müşterilere 25 Temmuz’da, bir üçüncü tarafın barındırıldığı bir müşteri veritabanının tehlikeye attığı bir saldırı öğrendiğini bildirdi.
Salesforce, bu saldırıların altyapısında herhangi bir güvenlik açığından yararlanmadığını vurguladı. Şirket Perşembe günü, “Salesforce platformu tehlikeye atılmadı ve bu sorun teknolojimizde bilinen herhangi bir güvenlik açığından kaynaklanmıyor.” Dedi. Diyerek şöyle devam etti: “Sosyal mühendislik ve kimlik avı tehditleri artmaya devam ettikçe, öncelikimiz müşterilerin güvenlik duruşlarını güçlendirmelerine yardımcı olmaktır.”
Şirket, müşterilerin, çok faktörlü kimlik doğrulamasını etkinleştirmek, en az oldukça oldukça erişimi korumak ve hangi uygulamaların doğrudan bağlantı kurmalarına izin verdiklerini dikkatlice izlemek de dahil olmak üzere verilerini korumak için en iyi uygulamaları takip etmelerini önermektedir.
Shinyhunters ve dağınık örümcek crossover
Uzmanlar, Shinyhunters’ın büyük ölçüde yerel olarak İngilizce konuşan ve sosyal mühendislikte mükemmel olan Batılı gençlerden oluştuğunu ve karşı koymayı zorlaştırdıklarını söyledi. Grup, dağınık örümcek gibi grupları da doğuran ve çok sayıda fidye yazılımı saldırısı gerçekleştiren “Com” olarak bilinen gevşek bir siber suç topluluğundan fırladı (bkz: bkz: İngiliz polisi İngiltere’de dört dağınık örümcek şüphelisini patlatıyor).
Bireyler, ya Shinyhunters ya da dağınık örümcek afişi altında gerçekleştirilen operasyonlar arasında ne ölçüde geçebilirler. Tarihsel olarak, Shinyhunters saldırıları, verileri püskürtmeye ve fidye olarak tutmaya odaklanırken, dağınık örümcek saldırıları, verileri püskürtmeye ek olarak fidye yazılımlarını dağıtmaya ve fidye talep etmeye odaklanmış gibi görünüyordu. Sonuç olarak, isimlendirme, farklı bir grubun oyunda olmasını yansıtmayabilir, daha ziyade hangi adı en iyi şekilde yaptıkları saldırı türünü yansıtırsa gevşek bir kolektif olabilir.
Shinyhunters’ın bir üyesi, “Dissent Doe” kullanıcısı altında DataBreaches.net sitesini çalıştıran Veri Breach blog yazarı ile yakın zamanda sohbet ederek, yüksek derecede crossover olduğunu öne sürdü.
Dissent Doe, LinkedIn’e Çarşamba günü yaptığı Çarşamba günü yaptığı açıklamada, “Shinyhunters, dün itibariyle gasp e -postalarını ‘Merhaba, biz Shinyhunters/dağınık örümcek’ ile tanıttıklarını iddia ediyor.