Veri Sızıntıları Dramatik Bir Şekilde Artıyor
Bu haftanın siber istihbarat raporu, kritik sektörlerde artan veri sızıntıları karşısında kasvetli bir tablo çiziyor. Önde gelen frontend bulut platformu Vercel, Context.ai’deki bir güvenlik açığından kaynaklanan önemli bir olayı duyurdu. Çalınan OAuth token’ları, bağlı bir uygulama aracılığıyla yetkisiz erişimin anahtarı oldu ve çalışan bilgilerinin, dahili logların ve ortam değişkenlerinin bir kısmının ifşa olmasına yol açtı. Şirket en hassas sırlarının güvende kaldığını belirtse de, bu olay üçüncü taraf satıcıların güvenlik açıklarının tehlikeli yankılarını gözler önüne seriyor.
Kimlik ve kayıt belgelerinden sorumlu Fransız otoritesi France Titres de 15 Nisan’da bir veri sızıntısını doğruladı. Açığa çıkan bilgiler arasında isimler, doğum tarihleri, e-posta adresleri, giriş kimlikleri ve bazı fiziksel adresler ile telefon numaralarının yer aldığı bildiriliyor. Ardından ne mi oldu? Ajans verilerine ait olduğu iddia edilen bilgiler karanlık ağda satışa çıktı; bu da saldırıların arkasındaki finansal motivasyonu net bir şekilde hatırlatıyor.
Araştırma kuruluşları bile bu tehditlerden muaf değil. Hayati önem taşıyan İngiliz araştırma kuruluşu UK Biobank, 500.000 gönüllünün anonimleştirilmiş sağlık verilerinin Çin pazaryerlerinde görünmesinin ardından bir ihlali doğruladı. Yetkililer listelemelerin kaldırıldığını ve satılmadığını, ayrıca erişimin artık kısıtlandığını ve indirme limitleri getirildiğini iddia etse de, araştırma amaçlı bu kadar hassas verinin bütünlüğü artık şüphesiz ki tehlikeye girmiş durumda.
Yapay Zeka Serbest Bırakıldı: Yeni İstismar Yolları
Ancak tehdit ortamı sadece çalınan kimlik bilgileri ve kişisel verilerden ibaret değil. Bir zamanlar kalkan olarak müjdelenen yapay zeka, giderek silah haline gelen bir araç oluyor. Araştırmacılar, Anthropic’in yayınlanmamış yapay zeka siber modeli Claude Mythos Preview’e üçüncü taraf satıcı ortamı aracılığıyla yetkisiz erişimi işaret etti. Küçük bir Discord grubunun, paylaşılan yüklenici hesaplarını, API anahtarlarını ve tahmin edilebilir URL’leri kullanarak sisteme sızdığı bildiriliyor. Anthropic soruşturma yürütüyor, ancak gelişmekte olan yapay zeka savunma modellerine yetkisiz erişimin sonuçları derindir.
Yapay zekanın saldırı operasyonlarına aktif olarak yardımcı olduğuna da tanık oluyoruz. Yapay zeka destekli bir istismar platformu olan Bissa Scanner, toplu tarama, istismar ve kimlik bilgisi toplama işlemlerini kolaylaştırmak için Claude Code ve OpenClaw’u kullanıyor. Birincil odak noktası React2Shell açığı (CVE-2025-55182) olmuş; milyonlarca hedef taranmış, 900’den fazla ele geçirme doğrulanmış ve on binlerce açıkta kalan ortam dosyası çalınmış. Bu sadece teorik değil; yapay zeka destekli, ölçeklenmiş operasyonel tehdit avcılığı.
Görünüşte zararsız olan prompt injection tekniği de güçlü bir saldırı vektörü olduğunu kanıtlıyor. Google’ın Antigravity agentik IDE’sinde vurgulanan bir prompt injection açığı zinciri, sandbox’tan kaçmaya ve uzaktan kod çalıştırmaya imkan tanıdı. Kusur, güvenlik kontrollerinden önce çalışan bir dosya arama aracını akıllıca istismar ederek, saldırganların güvenli modlarda bile zararsız bir komutu tam sistem ele geçirmesine dönüştürmesine olanak tanıdı. Google bu açığı yamalamış olsa da, yapay zeka sistemlerinin düşmanca girdilere maruz kaldığında doğasında bulunan kırılganlığı ortaya koyuyor.
Parola Yöneticiniz Tedarik Zinciri Saldırılarından Güvenli mi?
Bizi korumak için tasarlanan araçlar bile hedef haline geliyor. Yaygın olarak kullanılan bir parola yöneticisi olan Bitwarden, yakın zamanda bir tedarik zinciri saldırısının kurbanı oldu. Kötü amaçlı yazılımla enfekte edilmiş bir Komut Satırı Arayüzü (CLI) sürümü npm’e yüklendi; Bitwarden, 334 geliştiricinin 2026.4.0 sürümünü yüklediğini doğruladı. Ele geçirilen bir GitHub hesabından kaynaklanan bu kısa süreli güvenlik açığı, potansiyel olarak kimlik bilgilerini ifşa etmiş olabilir. Şirket, kasa verilerinin etkilenmediğini belirtse de, kimlik bilgisi ifşası içeren herhangi bir sızıntı, kullanıcıların bu hizmetlere en hassas bilgilerini emanet ettiği göz önüne alındığında önemli bir endişe kaynağıdır.
Kritik Açıklar Acil Dikkat Gerektiriyor
Açıkların durmaksızın gelmesi devam ediyor. Microsoft, 9.1 gibi yüksek bir puana sahip kritik bir ASP.NET Core ayrıcalık yükseltme kusuru olan CVE-2026-40372 için beklenmedik bir yama yayınladı. Data Protection’ın 10.0.0 ila 10.0.6 sürümlerindeki bir hata, saldırganların çerezleri ve antiforgery token’larını taklit ederek, etkili bir şekilde kullanıcıların yerine geçmesine ve Linux veya macOS dağıtımlarında SİSTEM düzeyinde erişim sağlamasına olanak tanıyabilir. Bu platformları çalıştıran kuruluşlar için bu yamanın ertelenmemesi gerekiyor.
Apple da iOS ve iPadOS için CVE-2026-28950’ye yönelik yamalar yayınladı. Bu Bildirim Hizmetleri hatası rahatsız edici bir yeteneğe sahipti: silinen uyarıları tutarak hassas mesaj önizlemelerinin kurtarılmasına olanak tanıyordu. Çok sayıda iPhone ve iPad modelini etkileyen bu açık, cihaza sahip olunduğunda adli erişim sunuyordu ve iddialara göre kolluk kuvvetleri tarafından şifreli uygulamalardan gelen gelen mesajlara erişmek için kullanıldı. Mesaj gizliliğinin aşınması, görünüşte düzeltilmiş hatalar aracılığıyla bile olsa endişe verici bir eğilimdir.
Bugünkü geliştirmenin büyük bir kısmının bel kemiğini oluşturan açık kaynak araçlar da muaf değil. Büyük dil modellerini dağıtmak için kullanılan açık kaynak araç seti olan LMDeploy, yüksek önem seviyesindeki sunucu taraflı istek sahtekarlığı kusuru CVE-2026-33626’dan etkileniyor. Alarma geçen şey ise istismarın hızı; aktif saldırılar açıklamanın ardından 13 saat içinde başladı. Saldırganlar, bulut meta verilerine erişmek, dahili hizmetleri sorgulamak ve ele geçirilmiş ağlar içinde yanal hareket kolaylaştırmak için görüntü yükleyiciyi kullanıyor.
Ve hala eski donanımlara tutunanlar için: Destek süresi dolmuş D-Link DIR-823X yönlendiriciler, uzaktan kod yürütme açığı olan CVE-2025-29635’e karşı savunmasız. Akamai, saldırganların bu açığı aktif olarak Mirai tabanlı bir botnet dağıtmak için kullandığını ve bu cihazları hizmet reddi saldırıları için zorladığını bildirdi. Bu modellerin desteği sona erdiği için yama beklenmiyor, bu da internet altyapısının önemli bir kısmını sürekli olarak savunmasız bırakıyor.
Fidye Yazılımı-Hizmet Olarak Operasyonlar Nasıl Çalışır?
Acil veri sızıntıları ve açıklıkların ötesinde, fidye yazılımlarının kalıcı tehdidi gelişmeye devam ediyor. Check Point Research, The Gentlemen fidye yazılımı-hizmet olarak (RaaS) operasyonunu analiz etti. 2025’te ortaya çıkan bu grup, çok çeşitli sistemler için şifreleyiciler sağlıyor: Windows, Linux, NAS, BSD ve ESXi. Operasyonları, endişe verici bir yer altı işe alım hattını, veri sızdırma amaçlı bir sızıntı sitesi modelini, Tox tabanlı müzakereleri ve kalıcılık ile erişimi sürdürmek için SystemBC proxy altyapısının kullanımını detaylandırıyor. Bu marjinal bir operasyon değil; yapılandırılmış bir suç kuruluşudur.
Ek olarak, sofistike casusluk kampanyaları da devam ediyor. Araştırmacılar, Hindistan’ın bankacılık sektörünü ve Güney Kore politika çevrelerini hedef alan ve güncellenmiş bir LOTUSLITE arka kapısı dağıtan bir Mustang Panda kampanyasını haritalandırdı. Taktikleri arasında HDFC temalı yardım dosyaları ve sahte bankacılık açılır pencerelerinin kullanılması, ayrıca kötü amaçlı yazılım kurulumu için DLL sideloading’den yararlanılması yer alıyor. Bu düzeydeki hedeflenmiş, kalıcı casusluk, siber alandaki jeopolitik alt akıntıları vurguluyor.
Son olarak, tedarik zinciri kritik bir zayıf nokta olmaya devam ediyor. Araştırmacılar, Docker Hub ve Visual Studio Code’daki Checkmarx geliştirici araçlarına kimlik bilgisi çalan kötü amaçlı yazılım enjekte eden bir saldırıyı ortaya çıkardı; bu da beş milyondan fazla kez indirilen KICS imajlarını etkiledi. Kötü amaçlı yazılımın amacı açık: bulut ve geliştirici kimlik bilgilerini toplamak ve ele geçirilmiş GitHub token’ları aracılığıyla yayılmak. Bu, yazılım geliştirmenin tam kalbine darbe vurarak, temelden başlayarak güveni ve güvenliği tehlikeye atıyor.
🧬 İlgili İçgörüler
- Daha Fazla Oku: EvilTokens: Microsoft Girişleri İçin Kimlik Avının Sürükle-Bırak Kabusu
- Daha Fazla Oku: APT (Gelişmiş Kalıcı Tehdit) Nedir?
