Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Suçlular, Qantas Havayolları Dahil Altı Mağdurdan Müşteri Verilerinin Sızdığını İddia Ediyor
Mathew J. Schwartz (euroinfosec) •
13 Ekim 2025
Salesforce müşterilerine şantaj yapan bir dijital siber suç grubu, FBI’ın çöken sitelerini kesintiye uğratmasının ardından çalınan bazı verileri sızdırdı.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Dağınık Lapsus$ Avcıları Cumartesi günü yaptığı açıklamada altı kurbandan çalınan verilerin sızdırıldığını söyledi: bakkal devi Albertsons, küresel enerji ve hizmet şirketi Engie Resources, Japon kamera üreticisi Fuji Film, giyim perakendecisi Gap, Avustralya havayolu Qantas ve Vietnam Havayolları.
Vietnam Havayolları’ndan ele geçirilen veriler arasında 7,3 milyon benzersiz e-posta adresinin yanı sıra isimler, telefon numaraları, doğum tarihleri ve sadakat programı üyelik numaraları da yer alıyor. Bir kamu hizmeti ihlali bildirim hizmeti olan Have I Been Pwned bulundu.
Qantas Pazar günü yaptığı açıklamada, “uzman siber güvenlik uzmanlarının yardımıyla, hangi verilerin yayının bir parçası olduğunu araştırıyoruz” dedi. Temmuz ayında havayolu, 5 milyon müşteriye isimler, e-posta adresleri ve sık uçan yolcu numaraları da dahil olmak üzere kişisel verilerinin sızdırıldığını bildirdi.
Çoğunlukla Batılı gençlerden oluşan Scattered Lapsus$ Hunters kolektifinin üyeleri, bu yılın başlarında sosyal mühendislik kurbanları aracılığıyla verileri çaldılar ve onlara Salesforce örneklerine erişim vererek müşteri verilerini çalmalarına olanak sağladılar. Ağustos ayında, ilk olarak Salesloft Drift’in sohbet robotu tarafından kullanılan GitHub deposunu ihlal ederek, Salesforce kullanan daha fazla kuruluşun güvenliğini tehlikeye attılar ve onlara kaynak koduna erişim sağladılar. Saldırganlar, OAuth belirteçleri için Drift kaynak kodunu taradı ve bu, 760 Salesforce örneği de dahil olmak üzere Drift ile entegre yazılımlara erişmelerine olanak sağladı. Şantajcılar Perşembe günü, ShinyHunters tarafından yönetilen BreachForums veri sızıntısı ve gasp sitesi de dahil olmak üzere “ödeme yapmayan şirketlerin verilerinin” Cuma günü New York saatiyle 23:59’da otomatik olarak sızdırılacağını iddia etti.
Grubun, en azından kısmen Salesloft ihlali yoluyla çaldığı 1,5 milyar kaydın 1 milyarını oluşturduğu söylenen 39 kurbanı listelemek ve tehdit etmek için oluşturduğu başka bir darkweb sitesinde yayınlanan bir uyarıyı okuyun: “Sıradaki manşet olmayın, kendinizi, müşterilerinizi koruyun, doğru kararı verin ve bize ulaşın.” Kurban olduğu iddia edilen diğer kişiler arasında Cisco, Disney, KFC, Ikea, Marriott, McDonald’s, Walgreens ve perakendeci Saks Fifth Avenue yer alıyor (bkz: Salesforce, ShinyHunters’ın Şantajcılarının Fidye Talebini Reddetti).
ABD’li ve Fransız yetkililer, Salı günü BreachForums’un clearnet ve darknet versiyonlarının yanı sıra 39 Salesforce müşterisini listeleyen darknet sitesini çevrimdışına alarak yanıt verdi. Dağınık Lapsus$ Avcıları, BreachForums’un darknet sürümünü geri yükledi, ancak bir darkweb alanı forum sitesi olarak kullanıldı ve clearnet sürümü de şu adreste kullanıldı: breachforums.hn çevrimdışı kaldılar.
Amerikan kolluk kuvvetleri perşembe günü clearnet versiyonunu Cloudflare tarafından barındırılan iki ad sunucusuna yönlendirdi. ns1.fbi.seized.gov Ve ns2.fbi.seized.govBleepingComputer, önceki nöbetlerde de kullanıldığını bildirdi.
Cumartesi günü, altı kurbanın verilerini sızdırdıklarını iddia eden grup, Salesforce müşterilerini şantaj etme çabalarının sona erdiğini duyurdu. Grubun bir üyesi Telegram’a yaptığı açıklamada, “Sızdırılan şey sızdırıldı; başka hiçbir şeyi sızdırmıyoruz çünkü sızdıramıyoruz” dedi. Grup, iddia edilen sınırlamanın niteliğini belirtmedi.
Dağınık Lapsus$ Avcıları, kolluk kuvvetlerinin tüm BreachForums yedekleme sunucularını yok ettiğini ve 2023’ten bu yana BreachForums için tüm veritabanı yedeklemelerinin yanı sıra tüm emanet ödeme veritabanlarının kopyalarını elde ettiğini söyledi. Bu veritabanları muhtemelen hangi kullanıcıların kredi satın aldığını ve hangi veri sızıntılarına erişim için para ödediklerini ortaya çıkaracaktır.
Veri gaspı yapan grup, hiçbir üyesinin kesinti nedeniyle tutuklanmadığını iddia etti – en azından şimdilik (bkz: Fransız Polisinin Beş BreachForum Yöneticisini Tutukladığı Bildirildi).
Güvenlik araştırmacıları, ShinyHunters’ın veri sızıntısı sitesinde listelediği diğer 33 kurbana veya diğer 700’den fazla kurbana ilişkin sızdırılan verileri takip etmedeki başarısızlığının, Telegram’daki gönderilerine bakılırsa, üyeler arasında kaosu körüklediği görülüyor.
Açık Sorular
Grubun altı müşteriye ait çalınan tüm verileri sızdırmayı başarıp başaramadığı ve bunların ne kadarının kamuya açık olduğu belirsiz.
Tehdit istihbarat firması Flashpoint, “Şantaj kampanyaları, yanlış iddialar, şişirilmiş veriler, örtüşen takma adlar gibi çok fazla gürültü yaratıyor” dedi. “Asıl iş, gerçekte neyin tehlikeye atıldığını ve bunun kuruluşu nasıl etkilediğini doğrulamaktır.”
ShinyHunters’ın özel Salesforce sızıntı sitesi, çalınan verilerin mevcut olduğu görünen dosya paylaşım platformu Limewire.com’a bağlantılar içeriyor.
Grup ayrıca verilerin en azından bir kısmını, defalarca ele geçirilen BreachForum’lara alternatif olarak Ağustos ayında başlatılan bir veri sızıntısı platformu olan BreachStars’a da gönderdi.
BreachStars sitesinde “5,7 milyondan fazla Qantas Airways Limited” altında listelenen verilere erişmek için ödeme yapan kullanıcılar Cumartesi günü bunun bir fiyasko olduğunu bildirdi. “Bağlantı öldü, içerik kaldırıldı, yeniden yüklensin mi?” biri yayınladı. Bir başkası ise “Kredilerin parasını ödedim ve içeriği bulunamadı.
Siber suç topluluğu için tekrarlanan bir başka zorluk, veri hırsızlarının saldırılarından para kazanmasına yardımcı olan çalıntı veritabanlarının ve bilgisayar korsanlığı araçlarının satın alınmasını ve satılmasını kolaylaştıran BreachForums gibi veri sızıntısı sitelerinde yoğunlaşıyor.
ShinyHunters siber suç grubu, 2022’de kurulduktan ve defalarca ele geçirildikten sonra, yakın zamanda sızıntılara ev sahipliği yapacak bir yer olarak BreachForums’u yeniden başlattı. Ancak Cumartesi günü grubun bir üyesi, kolluk kuvvetlerinin sürekli kesintiye uğrama çabaları altında bir veri sızıntısı platformunu aktif tutmanın artık bu zahmete değmeyeceğini söyledi. Üye, “Artık bu savaşta savaşmıyoruz” dedi. “BreachForums asla geri dönmeyecek, eğer geri dönerse derhal bal küpü olarak değerlendirilmelidir.”
ShinyHunters Devam Ediyor
Salesforce müşteri şantajı bir yana, Scattered Lapsus$ Hunters üyeleri başka yollarla da yoluna devam ediyor. Telegram’daki gönderilerde bazı üyeler, yakında Telegram’ı artık kullanmayacaklarını iddia ederken, büyük Avustralyalı firmaları hedeflemek için içerideki kişilerden yardım istedi.
Grup ayrıca sızıntı sitesinde, sorumluluğunu kendisine “Kızıl Kolektif” adını veren bir grubun üstlendiği Red Hat’in danışmanlık kolundan çalınan verileri içerdiği iddia edilen bir dosya yayınladı (bkz.: Red Hat, Consulting Arm’ın GitLab Örneğinin İhlal Edildiğini Doğruladı).
Dağınık Lapsus$ Hunters ayrıca, artık CVE-2025-61882 olarak izlenen Oracle E-Business Suite güvenlik açığına yönelik sıfır gün istismarını çalmakla ve bunu tedarik zinciri saldırılarında kullanmakla suçlayan Rusça konuşan fidye yazılımı grubu Clop diğer adıyla Cl0p’den intikam alma sözü verdi. Grup, özellikle Clop’un bu istismar koduna nasıl sahip olduğu iddiasından bahsetmekten kaçındı (bkz: Oracle E-Business Suite’e Yönelik Clop Saldırıları Temmuz Ayına Kadar İzleniyor).