Google'ın hacklendiği iddiası

Merhabalar, az önce YouTube’da bir video gördüm.

İddiaya göre, kendilerini “IT destek” olarak tanıtan saldırganlar, Google çalışanlarını arayarak sistemde bir güncelleme yapmak amacıyla yetki istiyor. Google çalışanı ise bu yetkiyi veriyor.

Saldırganlar, bu sayede sisteme arka kapı (backdoor) yüklüyor.

Google, Salesforce CRM platformlarından birinde yaşanan veri ihlalinin, potansiyel olarak Google Ads müşteri bilgilerini de içerdiği doğrulamış.

Açığa çıkan bilgilerin işletme adları, telefon numaraları, Google satış temsilcisinin tekrar iletişime geçmesi için kullanılan notlar olduğu belirtildi.

Bunların hiçbiri benim iddiam değil; aşağıdaki YouTube videosunda söylenenlerdir. Gerçek olup olmadığı hakkında bilgi sahibi değilim.

Bu olay gerçekse Google’ın hacklenmesi ve üstelik bunu iki ay boyunca saklamaya çalışması beni hayrete düşürdü.

Edit: Veri ihlalini gerçekleştirenlerin ShinyHunters isimli grup olduğu ve Google'dan 20 bitcoin fidye istediği iddia ediliyor.

Kaynak:

fy9' Alıntı:

Merhabalar, az önce YouTube’da bir video gördüm.

İddiaya göre, kendilerini “IT destek” olarak tanıtan saldırganlar, Google çalışanlarını arayarak sistemde bir güncelleme yapmak amacıyla yetki istiyor. Google çalışanı ise bu yetkiyi veriyor.

Saldırganlar, bu sayede sisteme arka kapı (backdoor) yüklüyor.

Google, Salesforce CRM platformlarından birinde yaşanan veri ihlalinin, potansiyel olarak Google Ads müşteri bilgilerini de içerdiği doğrulamış.

Açığa çıkan bilgilerin işletme adları, telefon numaraları, Google satış temsilcisinin tekrar iletişime geçmesi için kullanılan notlar olduğu belirtildi.

Bunların hiçbiri benim iddiam değil; aşağıdaki YouTube videosunda söylenenlerdir. Gerçek olup olmadığı hakkında bilgi sahibi değilim.

Bu olay gerçekse Google’ın hacklenmesi ve üstelik bunu iki ay boyunca saklamaya çalışması beni hayrete düşürdü.

Edit: Veri ihlalini gerçekleştirenlerin ShinyHunters isimli grup olduğu ve Google'dan 20 bitcoin fidye istediği iddia ediliyor.

Kaynak:

Genişletmek için tıkla ...

Açıkçası Hacklendi Mi Hacklenmedi Mi Diye. Tam Ortasında Kaldım

2t$ şirketin "güncelleme yapmak amacıyla" hacklenmesi fazladan komik

Google ve bir çok benzer şirketi hedef alarak, Sosyal mühendislik (voice phishing – vishing) yöntemiyle yapılan saldırı türü.

Kendilerini "ShinyHunters" olarak isimlendiren grup, IT destek ya da Salesforce bağlantılarından sorumlu çalışan olduğu söylenen kişiye kendilerini "IT destek" olarak tanıtarak, sahte Salesforce uygulamasına yetki vermesini sağlıyor. Bu, sesli oltalama yöntemiyle gerçekleştirilen tipik sosyal mühendislik saldırısıdır.

Google’a ait Salesforce CRM sistemine erişim aşamasında elde edilen (çalınan) veriler temelde küçük ve orta ölçekli işletmelere ait irtibat bilgileri ve notlar gibi "public" içeriklerdi. Bazı kaynaklara göre saldırganlar, Google’dan yaklaşık 20 Bitcoin (yaklaşık 2.3 milyon dolar) fidye istediler. Ancak daha sonra bunun “şaka” olduğunu iddia ettiler.

TechRadar da “saldırganların IT personeli kisvesiyle arama yaptığını, IT destekçinin giriş bilgilerini değiştirmeye ikna edildiğini" belirtmiş.

Konu zaten yeterince açık, biraz da bu konu hakkında alınabilecek önlemlere değinelim,

1. Çalışan Bazlı Önlemler (İnsan faktörünü güçlendirme)
Bu tip saldırılar genellikle “kapıyı içeriden açtırma” yöntemi olduğu için çalışan farkındalığı kritik.

Kimlik doğrulama alışkanlığı:
IT ekibinden geldiğini iddia eden bir arama, e-posta veya mesaj alındığında her zaman ikinci bir kanal üzerinden doğrulama yapılmalı (örneğin Slack, resmi e-posta veya dahili telefon rehberi).

Parola ve MFA kodu (çok faktörlü kimlik doğrulama) asla paylaşmama:
IT personeli bile asla doğrudan parola ya da MFA kodu istemez. Böyle bir talep gelirse bunun %99 saldırı olduğu varsayılmalı.

Bağlantı veya yazılım yükleme taleplerine temkin:
Tanımadığınız bir kaynaktan “destek amacıyla” verilen yazılım bağlantıları kesinlikle açılmamalı, yüklenmemeli.

Sosyal mühendislik farkındalık eğitimi:
Vishing, phishing, smishing örnekleriyle pratik yapılmalı. Simülasyon saldırıları ile çalışan refleksi geliştirilir.

2. Kurumsal / Teknik Önlemler (Sistemi koruma)
Şirketin teknolojik altyapısında bazı ek önlemler alması gerekir.

İlk giriş ve yeni cihaz uyarıları:
Hesaba yeni bir cihazdan veya lokasyondan giriş olduğunda otomatik olarak hem kullanıcıya hem güvenlik ekibine bildirim gitmeli.

Connected App izinleri kontrolü:
Salesforce veya benzeri platformlarda harici uygulama bağlantıları için onay mekanizması kurulmalı, sadece güvenilir uygulamalara izin verilmeli.

Minimum yetki prensibi (Least Privilege):
Çalışanın iş tanımıyla ilgisiz erişim yetkileri kaldırılmalı. Böylece saldırgan giriş yapsa bile erişebileceği veri sınırlı olur.

İki faktörlü kimlik doğrulama (MFA) zorunluluğu:
Özellikle CRM gibi müşteri verisinin bulunduğu sistemlere girişte MFA şart olmalı, tercihen donanım anahtarı (YubiKey vb.) ile.

Olay müdahale planı (Incident Response Plan):
Saldırı şüphesi durumunda kimin hangi adımı atacağı, hangi sistemlerin hemen kapatılacağı ve nasıl raporlama yapılacağı önceden belirlenmeli.

Düzenli log incelemesi:
CRM ve bulut servis log’ları otomatik anormallik tespiti (SIEM) ile takip edilmeli.

3. Özel olarak Google–Salesforce vakasından çıkarılan dersler
Vishing (telefonla kandırma) saldırıları artık e-posta phishing kadar tehlikeli.

Zararlı yazılım kurumsal yazılım görünümü altında gelebilir (ör. değiştirilmiş Salesforce Data Loader).

Saldırganlar genellikle IT veya destek personeli rolüne bürünür çünkü bu rollerin yazılım yükleme talebi doğal görünür.

Saldırı, çoğunlukla küçük bir dikkatsizlik ile başlar ve zincirleme büyür.