ŞOK - Daily Mail’in aktardığına göre, saldırının arkasında “ShinyHunters” adlı ünlü hacker grubu var. Haziran ayında bir Google çalışanını kandırarak oturum açma bilgilerini ele geçiren korsanların, bu veriler aracılığıyla Salesforce’un bulut tabanlı sistemine bağlı bir Google veri tabanına erişim sağladığı ortaya çıktı.
Google, saldırıda kullanıcı şifrelerinin ele geçirilmediğini savunurken; güvenlik uzmanları, çalınan verilerin dolandırıcılık faaliyetlerinde kullanılmaya başlandığını vurguluyor.
DOLANDIRICILAR GOOGLE ÇALIŞANI GİBİ DAVRANIYOR
Siber güvenlik uzmanı James Knight, yaşanan ihlalin Gmail kullanan herkesi ilgilendirdiğini belirtti. Knight, korsanların telefon aramaları ve sahte e-postalarla Google çalışanı gibi davrandığını söyledi:
“Bu konuda çıkar sağlamaya çalışan bilgisayar korsanı gruplarında büyük bir artış var. Çok fazla vishing yöntemi var; insanlar Google’dan arıyormuş gibi davranarak kullanıcıları kandırıyor, oturum açma bilgilerini veya SMS kodlarını almaya çalışıyor.”
Knight ayrıca, “Google’dan gelen bir kısa mesaj veya aramaya doğrudan güvenmeyin. On vakadan dokuzu gerçek değildir,” uyarısında bulundu.
SAHTE ARAMALAR İLE ŞİFRELER SIFIRLANIYOR
Sosyal medyada çok sayıda kullanıcı, dolandırıcıların “650” alan kodlu numaralardan arayarak şifre sıfırlamaya çalıştığını paylaştı. Bu yönteme kanan kullanıcıların hesaplarının kilitlendiği, kişisel dosyalarının ele geçirildiği belirtiliyor.
Korsanların ayrıca en yaygın kullanılan “şifre” gibi zayıf parolaları test ederek savunmasız hesaplara giriş yaptığı da ortaya çıktı.
Uzman James Knight, Gmail kullanıcılarının acilen güvenlik ayarlarını gözden geçirmesi gerektiğini vurguladı.
Çok faktörlü kimlik doğrulama: Her girişte telefonunuza veya e-postanıza ek bir doğrulama kodu gönderilmesini sağlayın.
Güçlü parola: Her hesap için benzersiz ve güçlü parolalar oluşturun.
Google güvenlik kontrolü: Hesabınızdaki zayıf noktaları tespit edin ve hızlıca giderin.
Knight ayrıca cihaz girişlerinde şifre yerine “parola anahtarları” kullanımını önererek, bu yöntemin ek bir güvenlik katmanı sağladığını ifade etti.
'SARKAN KOVA' YÖNLEMİYLE HİZLİ ERİŞİM
İhlalde kullanılan yöntemlerden biri de siber dünyada “sarkan kova (dangling bucket)” olarak bilinen açık kapılar oldu. Korsanlar, geçmişte kullanılan ancak kapatılmamış eski web adresleri ve dijital anahtarlar üzerinden Google Cloud hesaplarına erişim sağladı. Bu kapıları kullanarak veri çaldıkları ya da zararlı yazılımlar yerleştirdikleri belirtiliyor.
Google, Ağustos ayında yaptığı açıklamada saldırının boyutuna dair net bir rakam paylaşmadı. Şirket sözcüsü Mark Karayan da konuyla ilgili yorum yapmaktan kaçındı.
Saldırı sonrası hackerların Google’dan fidye talep edip etmediği ise hâlâ belirsiz.
Siber güvenlik uzmanı Knight, yaşanan ihlali şu sözlerle değerlendirdi:
“Google güvenliğe milyarlarca dolar yatırıyor. Yıllar önce bir güvenlik şirketi bile satın aldılar. Buna rağmen Salesforce ortamına erişim sağlanabilmiş olması şaşırtıcı. Ele geçirilen e-posta adresleri altın değerinde; hackerlar buradan büyük paralar kazanacak.”
ShinyHunters, daha önce de dünya çapında birçok kurumsal veri tabanını hedef almasıyla biliniyor.
