Çok sayıda mevcut ve eski Target çalışanı, bir tehdit aktörü tarafından paylaşılan kaynak kodu ve belgelerin gerçek dahili sistemlerle eşleştiğini doğrulamak için BleepingComputer’a ulaştı.
Mevcut bir çalışan ayrıca, BleepingComputer’ın iddia edilen sızıntı hakkında şirketle ilk temas kurmasından bir gün sonra başlatılan, Target’in Enterprise Git sunucusuna erişimi kısıtlayan “hızlandırılmış” bir güvenlik değişikliğini duyuran dahili iletişimleri de paylaştı.
Çalışanlar sızdırılan materyallerin gerçekliğini doğruluyor
Dün, BleepingComputer özel olarak, bilgisayar korsanlarının halka açık bir yazılım geliştirme platformu olan Gitea’da çalıntı depoların bir örneğini yayınladıktan sonra Target’ın dahili kaynak kodunu sattıklarını iddia ettiklerini bildirdi.
O zamandan bu yana, Target’in dahili CI/CD hatları ve altyapısı hakkında doğrudan bilgi sahibi olan çok sayıda kaynak, sızdırılan verilerin gerçekliğini doğrulayan bilgilerle iletişime geçti.
Eski bir Target çalışanı, örnekte görülen “BigRED” ve “TAP” gibi dahili sistem adlarının [Provisioning]”, şirkette bulut ve şirket içi uygulama dağıtımı ve orkestrasyonu için kullanılan gerçek platformlara karşılık gelir.
Hem mevcut hem de eski bir Target çalışanı, sızdırılan örnekte referans verilen Hadoop veri kümeleri de dahil olmak üzere teknoloji yığınının öğelerinin dahili olarak kullanılan sistemlerle uyumlu olduğunu doğruladı.
Buna, Vela’yı temel alan özelleştirilmiş bir CI/CD platformu etrafında oluşturulan araçlar da dahildir; bu, Target’in daha önce de kamuoyuna açıkladığı bir gerçektir ve üçüncü taraf iş istihbaratından da açıkça görüldüğü gibi, JFrog Artifactory gibi tedarik zinciri altyapısının kullanımıdır.
Çalışanlar ayrıca, sızdırılan veri setinde görünen ve dahili olarak “çiçek kimlikleri” olarak bilinenler gibi özel proje kod adlarına ve dahili sınıflandırma tanımlayıcılarına bağımsız olarak başvurdu.
Örnekte bu sistem referanslarının, proje adlarının ve eşleşen URL’lerin varlığı, materyalin uydurma veya genel kod yerine gerçek bir dahili geliştirme ortamını yansıttığını da destekler.
Target çalışanıysanız veya bu etkinlikle ilgili herhangi bir bilgiye sahipseniz, bunu gizli olarak bize bir ipucu gönder çevrimiçi veya aracılığıyla Sinyal @axsharma.01’de.
Target ‘hızlandırılmış’ erişim değişikliğini kullanıma sunuyor
İsminin gizli kalmasını isteyen mevcut bir çalışan, BleepingComputer’ın Target ile iletişime geçmesinden bir gün sonra, kıdemli bir ürün yöneticisinin hızlı bir güvenlik değişikliğini duyurduğu şirket çapındaki bir Slack mesajının ekran görüntüsünü de paylaştı:
Yönetici, “9 Ocak 2026’dan itibaren geçerli olmak üzere git.target.com’a (Target’in şirket içi GitHub Kurumsal Sunucusu) erişim, artık Target tarafından yönetilen bir ağa (yerinde veya VPN aracılığıyla) bağlantı gerektiriyor. Bu değişiklik hızlandırıldı ve GitHub.com’a erişimi nasıl ele aldığımızla uyumlu hale getirildi” dedi.
Kurumsal Git sunucuları, yalnızca kimliği doğrulanmış çalışanlar tarafından görülebilen özel depoları ve genel açık kaynak projelerini barındırabilir.
Ancak Target’ta açık kaynak kodu genellikle GitHub.com’da barındırılırken git.target.com dahili geliştirme için kullanılır ve çalışanların kimlik doğrulamasını gerektirir.
Dün bildirildiği üzere, git.target.com’a geçen haftaya kadar web üzerinden erişilebiliyordu ve çalışanlardan oturum açmaları isteniyordu. Artık herkese açık internetten erişilemiyor ve yalnızca Target’in dahili ağından veya kurumsal VPN’sinden erişilebilir, bu da şirketin özel kaynak kodu ortamına erişimin kilitlendiğini gösteriyor.
Veri sızıntısı mı, ihlal mi yoksa içeriden müdahale mi?
Verilerin tehdit aktörünün eline geçmesinin temel nedeni henüz belirlenemedi.
Ancak Hudson Rock’ın CTO’su ve kurucu ortağı güvenlik araştırmacısı Alon Gal, BleepingComputer’a ekibinin Eylül 2025’in sonlarında bilgi hırsızı kötü amaçlı yazılım tarafından ele geçirilen ve IAM, Confluence, Wiki ve Jira gibi dahili hizmetlere erişimi olan bir Target çalışan iş istasyonu tespit ettiğini söyledi.
Gal, BleepingComputer’a “Yakın zamanda virüs bulaşmış bir Target çalışanının IAM, Confluence, wiki ve Jira’ya erişimi olan bir bilgisayarı var” dedi.
“Bu özellikle önemli çünkü gördüğümüz onlarca Target çalışanına rağmen neredeyse hiçbirinin IAM kimlik bilgileri yoktu ve bir vaka dışında hiçbirinin wiki erişimi yoktu.”
Bu enfeksiyonun şu anda satış için reklamı yapılan kaynak koduyla doğrudan bağlantılı olduğuna dair bir onay yok. Ancak tehdit aktörlerinin verileri sızdırması ve aylar sonra bu verilerden para kazanmaya veya sızdırmaya çalışması alışılmadık bir durum değil. Örneğin, Clop fidye yazılımı çetesi, Ekim 2025’te, o yılın Temmuz ayı gibi erken bir tarihte çalınan veriler için veri sızıntısı tehditleri yoluyla mağdurlardan şantaj yapmaya başladı.
Tehdit aktörü, tüm veri kümesinin yaklaşık 860 GB boyutunda olduğunu iddia ediyor. BleepingComputer yalnızca beş kısmi depodan oluşan 14 MB’lık bir örneği incelemiş olsa da, çalışanlar bu sınırlı alt kümenin bile orijinal dahili kod ve sistem referansları içerdiğini söylüyor ve bu da çok daha büyük bir arşivin içerebileceği kapsam ve hassasiyet hakkında soru işaretleri yaratıyor.
BleepingComputer geçen hafta Gitea veri deposu bağlantılarını Target ile paylaştı ve daha sonra soruşturmaya yardımcı olmak için Hudson Rock’ın tehdit istihbaratı bulgularını iletmeyi teklif etti. Şirket, takip eden sorulara yanıt vermedi ve bir ihlali mi yoksa içeriden olası bir müdahaleyi mi araştırdığı konusunda sessiz kaldı.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.