bencede
New member
Kripto cüzdanları boşaldı: Siber suçlular posta hesaplarına baskın düzenledi
Küçük hata, büyük etki: ABD telekomünikasyon sağlayıcısı AT&T’nin bir API’si, yetkisiz erişime karşı yeterince korunmadı. Bu, dolandırıcıların kullanıcıların e-posta hesaplarına erişmesine izin verdi. Bununla birlikte, bir soygun başlattılar ve kurbanların kripto para birimlerini zimmete geçirdiler.
Techcrunch’ın bildirdiği gibi, att.net, sbcglobal.net, bellsouth.net alan adlarına sahip e-posta adresleri ve diğer AT&T etki alanları ve hizmetleri etkilendi. İronik bir şekilde, kurbanlar iki faktörlü kimlik doğrulamanın (2FA) ek güvenlik mekanizmasını kullandılar.
AT&T: İkinci faktörle korunur
Çok faktörlü kimlik doğrulama yoluyla genişletilmiş koruma, aslında yalnızca ek faktörün sahiplerinin posta hizmetine erişmesini sağlamayı amaçlamaktadır. Örneğin, web posta hesabınıza giriş yaptığınızda, bir hizmet web tarayıcısını bir cihazda ilk kez kullandığınızda ekstra sahiplik kanıtı faktörü ister. Örneğin, veri sızıntılarından yakalanan oturum açma verileri erişim elde etmek için kullanılamaz çünkü genellikle ikinci faktör eksiktir.
Ancak, eski yazılımın ikinci bir faktörü değerlendirme yolu yoktur. Örneğin, e-postaya IMAP erişimi bu şekilde kolayca güvence altına alınamaz. Çoğu program ve hizmet, erişim yetkilendirmesini doğrulamak için hala bir kullanıcı adı ve parola kullanır. Ancak, güvenliğin tamamen etkilenmemesi için, posta barındırıcıları genellikle bir uygulamaya özel şifre yaratmak. Örneğin, bu yalnızca e-postalara erişime izin verir, ancak tam kullanıcı hesabına ve ayarlarına izin vermez.
Uygulamaya özel şifre yoluyla izinsiz posta girişi
Siber suçlular, AT&T’nin “güvenli posta anahtarları” olarak adlandırdığı bu uygulamaya özel parolaları oluşturmak için kullanılan API’sine erişim elde etti. Etkilenen posta hesapları daha sonra kendilerine açıldı. Oradan, kripto para borsaları gibi daha kârlı hizmetler için şifreleri sıfırlarlar. Saldırganlar bunu Coinbase ve Gemini hesaplarının şifrelerini sıfırlamak ve ardından bu hesaplara erişmek için kullanabilir. Kurbanların fark etmemesi için ilgili e-postaları hızla sildi.
Techcrunch, biri Coinbase hesabında halihazırda 134.000 $ değerinde kripto para biriminden kurtulmuş olan iki kurbanla iletişim kurmayı başardı. Kasım 2022’den bu yana, tek başına bu tür on saldırı yaşadı. Outlook bir bağlantı hatası gösterdi. Kurban daha sonra AT&T hesabına giriş yaptı, yeni oluşturulan uygulamaya özel şifreyi kaldırdı ve yeni bir tane oluşturdu. Saldırganların Outlook oturum açma verilerinize doğrudan erişimleri olduğu ve önce web sitesinde oturum açıp verileri değiştirmeleri gerekmediği için bu çok sinir bozucuydu.
AT&T yanıtı
Bir AT&T sözcüsü, şirketin “bazı durumlarda bir parola gerektirmeden bir e-posta hesabına erişmek için kullanılabilen güvenli e-posta anahtarlarının yetkisiz olarak oluşturulduğunu keşfettiğini” söyledi. Sözcü, “Bu tür faaliyetleri önlemek için güvenlik kontrollerimizi güncelledik. Tedbir olarak, bazı e-posta hesaplarının şifrelerini proaktif olarak sıfırladık” diye ekledi. Kaç hesabın etkilendiğini belirtmeden “bu işlem, oluşturulan tüm güvenli e-posta anahtarlarını sildi” diye devam etti.
Techcrunch ayrıca, saldırganların AT&T’nin dahili çalışan portallarına erişim elde etmek için kullanabilecekleri AT&T’nin eksiksiz çalışan veritabanına sahip olduklarını iddia ettiği bir Telegram ekran görüntüsüne de sahiptir. Ancak yine de AT&T VPN sunucusuna erişim sağlayacak bir sertifikaya sahip değiller. Bir muhbir dergiye, yazarların artık AT&T’nin dahili VPN’sine erişebildiğini söyledi. Ancak şirket sözcüsü yalanladı: “Bu istismarla hiçbir sisteme erişilemedi. Saldırganlar API erişimi kullandı.”
Siber suçluların API’ye nasıl eriştikleri ve dahili verileri gerçekten çalıp çalamayacakları net değil.
(dmk)
Haberin Sonu