Kötü şöhretli veri ihlali ticaret platformu BreachForums’un moderatörü, T-Mobile’daki bir veri ihlalinden kaynaklandığını iddia ettiği verileri satışa sunuyor.
IntelBroker adını kullanan moderatör, verilerin kaynak kodu, SQL dosyaları, resimler, Terraform verileri, t-mobile.com sertifikaları ve “Siloprogramlar” içerdiğini açıklıyor. (Siloprogramları duymadık ve hiçbir yerde bunlara ilişkin bir referans bulamıyoruz, dolayısıyla bu bir yanlış çeviri veya yazım hatası olabilir.)
Verilere sahip olduklarını kanıtlamak için IntelBroker, geliştiriciler için Confluence sunucusuna ve T-Mobile’ın dahili Slack kanallarına yönetici ayrıcalıklarıyla erişimi gösteren birkaç ekran görüntüsü yayınladı.
Ancak BleepingComputer’ın bildiği kaynaklara göre IntelBroker’ın paylaştığı veriler aslında daha eski ekran görüntülerinden oluşuyor. Bu ekran görüntüleri, T-Mobile’ın altyapısını gösteriyor ve bunların çalındığı bilinen ama isimsiz bir üçüncü taraf satıcının sunucularında yayınlanıyor.
IntelBroker’ın gönderisine eklediği ekran görüntülerine baktığımızda bunlardan birinde ilginç bir şey fark ettik.
Bu ekran görüntüsü, ekiplerin yazılımı planlamak, takip etmek, yayınlamak ve desteklemek için kullandığı bir proje yönetimi aracı olan Jira’daki kritik bir güvenlik açığına yönelik bir arama sorgusunu gösterir. Genellikle devam eden çalışmaların kaynak kodunu bulabileceğiniz bir yerdir.
Arama, bir SQL enjeksiyon güvenlik açığı olan CVE-2024-1597 sonucunu döndürür. SQL enjeksiyonu, bir siber suçlunun, formun istediği veriler yerine bir web sitesindeki oturum açma sayfası gibi bir forma kötü amaçlı SQL kodu enjekte etmesiyle gerçekleşir. Atlassian’ın Mayıs ayı güvenlik bültenine göre güvenlik açığı Confluence Veri Merkezini ve Sunucusunu etkiliyor.
Daha iyi bir anlayış için, Jira ve Confluence’ın Atlassian tarafından oluşturulan ürünler olduğunu ve Jira’nın proje yönetimi ve sorun izleme aracı, Confluence’ın ise işbirliği ve dokümantasyon aracı olduğunu belirtmek önemlidir. Çoğu zaman birlikte kullanılırlar.
IntelBroker’ın SQL enjeksiyon güvenlik açığına yönelik çalışan bir istismarı varsa, bu aynı zamanda AppleConnect olarak bilinen tek oturum açma kimlik doğrulama sistemi de dahil olmak üzere Apple’da kullanılan üç dahili aracın kaynak koduna sahip oldukları iddiasını da açıklayabilir.
Bu teori, IntelBroker’ın aynı zamanda Jira’yı sıfır gün satışına sunması gerçeğiyle de destekleniyor.
“Atlassian’ın Jira’sı için sıfır gün RCE’si satıyorum.
Masaüstü uygulamasının en son sürümünün yanı sıra Jira’nın da birleşimiyle çalışır.
Bunun için oturum açmanıza gerek yok ve Okta SSO ile çalışıyor.”
Eğer bu doğruysa, bu istismar veya bunun meyveleri, kişisel verileri içeren veri ihlalleri için kullanılabilir.
Bu arada T-Mobile, üçüncü taraf bir sağlayıcıda ihlal olup olmadığını araştırdığını söyleyerek ihlale uğradığını reddetti.
“T-Mobile müşteri verilerinin veya kaynak kodunun dahil edildiğine dair hiçbir göstergemiz yok ve kötü niyetli kişinin T-Mobile’ın altyapısına erişildiği yönündeki iddiasının yanlış olduğunu doğrulayabiliriz.”
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruzsen
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.