Proje yönetimi platformu Monday.com, tehdit aktörlerinin kimlik avı saldırılarında kötüye kullanmasının ardından “Güncellemeyi Paylaş” özelliğini kaldırdı.
Monday.com, ekiplerin otomatik iş akışları ve kontrol panellerini kullanarak çalışmalarını organize etmelerine ve yönetmelerine olanak tanıyan bulut tabanlı bir proje yönetimi platformudur. Platform, aralarında Coca-Cola, Canva, LionsGate, Oxy, Compass ve Zippo’nun da bulunduğu 225.000 müşteri tarafından kullanılıyor.
Salı günü Monday.com müşterileri BleepingComputer’a, şirketin e-posta hesaplarından kimlik avı e-postaları aldıktan sonra ele geçirildiğinden endişe duyduklarını söyledi.
Bu e-postalar SendGrid kullanılarak gönderildi ve şu adresten geldi: [email protected]SPF, DMARC ve DKIM kimlik doğrulamasını geçerek.
Kimlik avı e-postaları bir “İnsan Kaynakları” departmanından geliyormuş gibi davranarak kullanıcılardan “kuruluşun işyerinde cinsiyet politikasını” kabul etmelerini veya “2024 Çalışan Değerlendirmesi”nin bir parçası olarak geri bildirim göndermelerini istiyordu.
Kaynak: BleepingComputer
E-postaların içinde, formstack.com’da kimlik avı formlarına yol açan, Tinyurl.com gibi kısaltılmış URL’ler içeren bağlantılar bulunuyordu. Bu kimlik avı kampanyalarıyla ilişkili formlar o zamandan beri devre dışı bırakıldı, dolayısıyla BleepingComputer hangi bilgilerin toplandığını bilmiyor.
Bu hafta başında kimlik avı saldırıları hakkında Monday.com ile iletişime geçtikten sonra bugün BleepingComputer’a saldırıların ‘Güncellemeyi Paylaş’ özelliği aracılığıyla gerçekleştirildiğini söylediler.
Monday.com sözcüsü BleepingComputer’a şunları söyledi: “Kullanıcıların, hesaplarının üyesi olmayan biriyle bir güncellemeyi paylaşmasına olanak tanıyan “Güncellemeyi Paylaş” adlı bir monday.com özelliğinin kötüye kullanıldığı konusunda bilgilendirildik.”
“Maalesef bir kullanıcı kimlik avı mesajı göndererek bu özelliği kötüye kullandı. Bu kullanıcıyı derhal askıya aldık ve özelliği kaldırdık.”
“Bu özelliğin, monday.com’da barındırılan verilerle bağlantısı veya herhangi bir müşteri hesabına veya verisine erişimi yoktur. Kimlik avı iletisinin e-posta alıcılarına ulaştık ve önlemleri paylaştık.”
Monday.com, tehdit aktörünün, bildirim gönderilmesi gereken e-posta adreslerinin (kendi kuruluşlarının dışındaki kişileri de içerebilecek) bir listesini girerek bu özelliği kötüye kullandığını söylüyor.
Kaç kişinin e-posta aldığı sorulduğunda, güvenlik nedeniyle yanıt vermeyi reddettiler ancak kimlik avı e-postalarına karşı onları uyarmak için tüm alıcılarla iletişime geçtiklerini söylediler.
‘Güncellemeyi Paylaş’ özelliğini kullananlar için Monday.com, BleepingComputer’a özelliğin incelenmekte olduğunu ve özelliğin ne zaman geri yükleneceği veya geri getirilip getirilmeyeceği konusunda bir zaman çizelgesi sağlayamayacağını söyledi.