Siber suç: Salt Typhoon sızması
- AT&T, Verizon ve Lumen Technologies, Çin hükümeti destekli hackerların kendi sistemlerine sızdığını doğruladı.
- Bu sızma, "ülke tarihindeki en kötü telekom hack olayı" olarak anılıyor ve Çin'e milyonlarca kişinin konumunu takip etme ve telefon görüşmelerini kaydetme imkanı sağlıyor.
- AT&T, az sayıda müşterinin etkilendiğini ve şu anda ağında devlet destekli hacker faaliyeti bulunmadığını doğruladı.
- Verizon, hükümet ve siyaset alanındaki üst düzey müşterilerinin sızmadan etkilendiğini, olayın ise şu anda kontrol altına alındığını açıkladı.
- Lumen Technologies, müşteri verilerine erişilmediğini ve bağımsız bir adli bilişim şirketinin hackerları ağdan çıkardığını doğruladı.
9 telekom şirketi ihlal edildi, Beyaz Saray duyurdu
- Beyaz Saray, adı açıklanmayan ek telekom operatörlerinin de ihlal edildiğini duyurarak etkilenen şirket sayısının toplam 9'a ulaştığını doğruladı.
- Çinli hackerlar ağlara geniş çaplı erişim sağlayarak milyonlarca kişinin konumunu takip edebildi ve telefon görüşmelerini kaydedebildi.
- Beyaz Saray, gönüllü siber güvenlik önlemlerinin devlet destekli tehditler karşısında yeterli olmadığını vurgularken, FCC telekom operatörlerinden temel siber güvenlik uygulamalarını talep eden bir kural önerisi süreci başlattı.
- 9 telekom şirketinin CEO'ları, hükümetin 60 günlük sürekli güvenlik çerçevesini imzaladı.
Ek bilgiler
- FCC, telekom operatörü ağ güvenliğini güçlendirmeye yönelik kural önerisini ilerletiyor ve oylamanın 15 Ocak'a kadar yapılması planlanıyor.
- ABD Senatörü Ron Wyden, FCC'nin telekom sistemleri için bağlayıcı kurallar yayımlamasını zorunlu kılan bir yasa tasarısı önerdi.
- Bu kamu-özel sektör iş birliği, istihbarat kurumları, CISA, FBI ve telekom güvenliği uzmanlarının mutabık kaldığı asgari siber güvenlik uygulamalarını hayata geçirmeyi hedefliyor.
1 yorum
Hacker News yorumu
Veri minimizasyonu ve müşteri verilerinin uçtan uca şifrelenmesi uygulanırsa veri sızıntılarının azalacağı yönünde bir görüş var. İstihbarat kurumları masum vatandaşların konuşmalarına erişmek istiyor.
Saldırının açıklaması net değil, ancak daha fazla ağ işletmecisinin hacklendiğini söylemesi, Çin'in yasal dinlemeyi hedef almış olma ihtimalini güçlendiriyor. Bu, kolluk kuvvetlerindeki birinin satın alınması ya da tehdit edilmesi, tedarik zinciri saldırısı, ağ ile LIMS arasındaki kimlik doğrulamanın ele geçirilmesi gibi çeşitli yollarla gerçekleşmiş olabilir.
ABD'deki bankalar, Venmo, PayPal ve benzerleri doğrulama yöntemi olarak "gerçek" telefon numarası kullanmak istiyor. Venmo, voip numaralarına izin vermiyor, ancak Tello'ya kaydolup eSIM'i etkinleştirince yurtdışındayken bile SMS almak mümkün olmuş. Maliyeti yalnızca 5 dolardı.
Güvenlik alanında çalışan biri olarak, birden fazla şirketin aynı anda hacklenmiş olması şaşırtıcı. Bu, PRD'nin hedefleri hakkında çok şey söylüyor. Neden tüm şirketleri aynı anda hedef alıp başkanlık düzeyinde bir tepkiyi tetiklediklerini merak ediyorum. Bu, modern bir "Soğuk Savaş" tarzı altyapı saldırısı.
ABD Hazine Bakanlığı, Çinli tehdit aktörleri tarafından ihlal edildiğini açıkladı. "Siber güvenlik sağlayıcısının" uzaktan erişim anahtarı ele geçirilmiş ve saldırganlar bu sayede Hazine Bakanlığı'nın uç noktalarına erişebilmiş.
İlgili önceki tartışmalar arasında, ticari telekomünikasyon altyapısının PRC tarafından hedef alınması ve AT&T ile Verizon'un ABD hükümetinin dinleme platformunu hedef alan saldırılarla hacklendiğine dair haberler yer alıyor.
Tüm diğer güvenlik katmanlarının üzerinde, cihazlar arasında şifreleme gerektiğini savunan bir görüş var. İletişim, alıcı dışında hiç kimse için şifrelenmemiş olmamalı.
Starlink'in büyük ölçekli doğrudan hücresel antenleri aracılığıyla tüm 4G/5G telefon IMEI'lerini kolayca konum bazlı takip edebileceğine dair bir tahmin var.
Artık onlara bir daha asla güvenilemeyeceği yönünde bir görüş var. SIM kartların, belirli bir tarihe kadar geçerli bir hücresel/veri planına dair sıfır bilgi ispatı sunmasını sağlayacak şekilde bunun yasayla uygulanması gerektiği söyleniyor. Verileri güvenli tutamıyorlarsa, o verilere sahip olmayı hak etmiyorlar.