ShinyHunters olarak bilinen bir tehdit aktörü, bankanın bir veri ihlali bildirmesinden iki hafta sonra, 30 milyon müşteri, çalışan ve banka hesap verileri de dahil olmak üzere Santander Bank’tan devasa miktarda veri sattığını iddia ediyor.
ShinyHunters, bu hafta 560 milyon insanı etkileyen büyük Ticketmaster veri ihlali iddiası da dahil olmak üzere, yıllar boyunca çok sayıda şirketten veri satması ve sızdırmasıyla tanınıyor.
Aynı zamanda, son birkaç yılda emniyet teşkilatının birçok kez kapatmasından sağ kurtulan, çalıntı verilerin satışı ve sızdırılması konusunda kötü şöhretli bir çevrimiçi topluluk olan BreachForums’un da sahibidirler.
İki hafta önce İspanya’nın en büyük bankası Santander, üçüncü taraf bir sağlayıcı tarafından barındırılan bir veritabanına yetkisiz erişim tespit ettikten sonra bir veri ihlalini açıkladı.
Şirketin araştırması, tehdit aktörünün Şili, İspanya ve Uruguay’daki çalışanlara ve müşterilere ait verilere eriştiğini belirledi.
Santander’den yapılan bir açıklamada, “Bir soruşturmanın ardından, Santander Şili, İspanya ve Uruguay müşterilerinin yanı sıra grubun tüm mevcut ve bazı eski Santander çalışanlarına ilişkin belirli bilgilere erişildiğini doğruladık.”
“Diğer tüm Santander pazarlarındaki ve işletmelerindeki müşteri verileri etkilenmez.”
İki hafta hızlı ilerleyin ve ilk olarak Dark Web Informer tarafından tespit edildiği üzere ShinyHunters şimdi Şili, İspanya ve Uruguay’daki Santander müşterilerinin verilerini 2 milyon dolara satmayı iddia ediyor; bankanın çalındığını bildirdiği verilerin aynısı.
ShinyHunters, çalınan verilerin 30 milyon müşteri ve çalışanın kişisel bilgilerini, 28 milyon kredi kartı numarasını, 6 milyon hesap numarasını ve bakiyesini içerdiğini iddia ediyor.
Satış listesinin bir parçası olarak tehdit aktörü, listelenen bilgileri içeren ancak Santander’e ait olduğu doğrulanamayan veri örneklerini de paylaştı.
Bu listeleme, ShinyHunters ve Baphomet olarak bilinen başka bir tehdit aktörü tarafından işletilen BreachForums’un 15 Mayıs’ta FBI tarafından ele geçirilmesinden kısa bir süre sonra geldi.
ShinyHunters, Baphomet’in tutuklandığını söylerken, BreachForums sitesini hızlı bir şekilde yedekten yeni bir alana geri yükledi.
O zamandan bu yana tehdit aktörü, Ticketmaster ve Santander’in satışını yayınladı; bazıları bunun, kolluk kuvvetleri tarafından kapatıldıktan sonra sitenin itibarını geri kazanmak için yapıldığını düşünüyor.
Bununla birlikte, bu satışları olağandışı kılan şey, her ikisinin de yeni restore edilen BreachForums’da listelenmelerinden günler önce ilk olarak Rusça konuşulan Exploit hack forumunda listelenmiş olmasıdır.
Bu satışlar, BreachForums veya ShinyHunters’a atıfta bulunulmadan yeni üyelerin hesapları altında listelendi ve bu da başkalarının BreachForums’daki satışların sahte olduğuna inanmasına neden oldu.
Ancak ShinyHunters, geçmişte genellikle diğer tehdit aktörleri için veri ihlali komisyoncusu olarak hareket etmişti ve bu tehdit aktörlerinin çalıntı verileri satmak için çeşitli forumlarda yeni takma adlar oluşturması alışılmadık bir durum değil.
TicketMaster bir veri ihlalinin meydana gelip gelmediğini doğrulamamış olsa da ShinyHunters geçmişte geçerli veri ihlallerini satma konusunda bir üne sahiptir.
Shiny Hunters, 2021 yılında 73 milyon AT&T müşterisinin çalınan verilerini sattığını iddia etti ve şirket bunu BleepingComputer’a defalarca yalanladı.
ShinyHunters o zamanlar BleepingComputer’a “Kabul etmemeleri umurumda değil. Ben sadece satıyorum” dedi.
2024 yılında AT&T verileri bir bilgisayar korsanlığı forumunda sızdırıldıktan sonra AT&T nihayet verilerin meşru olduğunu ve bir ihlale maruz kaldıklarını doğruladı.
Geçmişte ShinyHunters, aralarında Wattpad, Tokopedia, Microsoft’un GitHub hesabı, BigBasket, Nitro PDF, Pixlr, TeeSpring, Promo.com, Mathway ve çok daha fazlasının da bulunduğu çok sayıda şirketin verilerini ihlal etti veya sızdırdı.