Allianz Life, siber saldırıda müşterilerinin kişisel verilerinin büyük kısmının çalındığını açıkladı

 (techcrunch.com)
2 puan yazan GN⁺ 2025-07-28 | 1 yorum | WhatsApp'ta paylaş
  • ABD'li sigorta şirketi Allianz Life, bir siber saldırıya uğradı ve müşterilerin, finans uzmanlarının ve bazı çalışanların kişisel verileri çalındı
  • Saldırganlar, bulut tabanlı bir CRM sistemi üzerindeki bilgilerin büyük kısmını sosyal mühendislik yöntemiyle ele geçirdi
  • Allianz Life, yasal bildirim süreçlerini tamamladığını ve FBI'ı bilgilendirdiğini söyledi, ancak saldırıyı gerçekleştiren grubun kim olduğuna dair tahminde bulunmadı ve mağdur sayısını açıklamadı
  • Son dönemde sigorta sektörü genelinde benzer veri sızıntısı olayları peş peşe yaşanırken, Scattered Spider hacker grubuna atfedilen vakaların sayısı da artıyor
  • Mağdurlara bireysel bildirimlerin 1 Ağustos civarında başlaması bekleniyor

Allianz Life siber saldırısına genel bakış

  • ABD'nin büyük sigorta şirketlerinden Allianz Life, TechCrunch'a, 2025 Temmuz ortasında yaşanan veri ihlali olayında müşteriler de dahil olmak üzere çok sayıda kişiye ait verinin çalındığını resmen doğruladı
  • Allianz Life sözcüsü olayı resmen kabul ederken, saldırının 16 Temmuz 2025 tarihinde gerçekleştiğini belirtti
  • Saldırganlar, üçüncü taraf bir bulut CRM (müşteri ilişkileri yönetimi) sistemine erişerek müşterilerin büyük kısmının, finans uzmanlarının ve bazı çalışanların kimliği belirlenebilir kişisel verilerini sosyal mühendislik yöntemleri kullanarak ele geçirdi

Veri sızıntısı ve müdahale durumu

  • Veri sızıntısı, Maine eyaletindeki yasal bildirim dosyası üzerinden kamuoyuna açıklandı, ancak etkilenen müşteri sayısı hemen paylaşılmadı
  • Allianz Life'ın ABD'de yaklaşık 1,4 milyon müşterisi bulunuyor; ana şirket Allianz'ın ise dünya genelinde 125 milyondan fazla müşterisi var
  • Allianz Life, olayı FBI'a bildirdi, ancak saldırganlardan para talebi gelip gelmediğini ya da doğrudan bir iletişim kurulup kurulmadığını açıklamadı
  • Şirket, saldırganların yalnızca CRM sistemi üzerinden erişim sağladığını ve ağ içindeki diğer sistemlerin ihlal edildiğine dair bir kanıt bulunmadığını özellikle vurguladı

Sektördeki benzer saldırılar ve arka plan

  • Son bir ay içinde, Aflac gibi sigorta şirketlerini hedef alan büyük ölçekli siber saldırılar art arda yaşandı
  • Google'ın güvenlik araştırmacıları, haziran ayında sigorta sektörü genelinde birden fazla ihlal vakası tespit ettiklerini ve bunların, sosyal mühendislik kullanan Scattered Spider hacker grubunun işi olduğunu belirtti
    • Sosyal mühendislik yöntemi: Yardım masası personelini sahte telefon aramaları gibi yöntemlerle kandırarak ağ erişim yetkisi elde etme gibi teknikler
  • Scattered Spider daha önce Birleşik Krallık'taki perakende sektörü, havacılık ve taşımacılık ile Silikon Vadisi'ndeki büyük BT şirketleri dahil olmak üzere farklı sektörleri de hedef almıştı

Sonraki adımlar ve bilgilendirme

  • Allianz Life, etkilenen müşterilere ve ilgili taraflara 1 Ağustos civarından itibaren bireysel bildirim göndermeye başlamayı planlıyor
  • Güvenlikle ilgili ek bilgi paylaşımı ve sorular için ayrı bir şifreli kanal öneriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-07-28
Hacker News görüşleri

  • Bunu sık sık söylüyorum; bunun popüler olmayan bir görüş olduğunun farkındayım ama neden öyle olduğunu pek bilmiyorum
    Güvenlik araştırmacıları, white hat hacker'lar ve gray hat hacker'lar, bir zafiyet bulduklarında bunu yalnızca rapor ettikleri sürece güçlü yasal korumaya sahip olmalı
    Kötü niyetli hacker'lar güvenlik açıklarını sürekli araştırıyor ama onları durduran bir sistem yok
    Buna karşılık iyi niyetli bir hacker aynı şeyi yaptığında ağır suçla yargılanıyor
    Güvenli sistemler kurmakta başarısız olduğumuz deneysel olarak ortaya çıkmış durumda
    Utanç verici ama büyük şirketlerimizin ve kurumlarımızın çoğunun güvenli sistemler kurma kapasitesi neredeyse yok
    Bu gerçeği görmezden istememizin nedenlerinden biri, kurum içi red team güvenlik araştırmalarına bile izin vermememiz
    Sonuç olarak her şey şirketlerin ve güçlü kurumların lehine işliyor
    Şirketler, "Sistemimiz bizim sorumluluğumuzda, izinsiz test edilemez. Ama veri sızarsa bunun sorumluluğu bizde değil" diyor
    Yani kurumların, sorumluluğun kendilerine uyup uymadığına göre tavır seçmesi gerçekten ironik
    Şirketler kendi sistemlerinin güvenliğinden sorumlu mu, yoksa bu hepimizin ortak meselesi mi? Bunun netleşmesi gerek
    Bir ülke nüfusunun yarısının verisi sık sık sızıyorsa bu herkesin dahil olduğu bir mesele gibi görünüyor
    Ve bu gerçekten bir ulusal güvenlik meselesi
    Örneğin, ülkenin elektrik şebekesinin güvenli olup olmadığını bağımsız bir kurum mu denetliyor, yoksa ben bunu yasal olarak kendim deneyebilir miyim?
    Hayır, deneyemezsin. Denemenin kendisi ağır suç sayılır
    Böyle güçlü kurumlar sistem güvenliğinde açıklar olsa bile hiçbir şey yapmayabiliyor ve dışarıdakilerin de bu açıkları araştırma hakkı yok
    Sonuçta ulusal güvenliği, şirketlerin rahatlığı ve utanmaması uğruna feda ediyoruz

    • Google, facebook ve Microsoft'un müşteri veritabanlarının gerçekten hack'lenip hack'lenmediğini dönüp düşündürüyor
      Bugün yazılımı bu kadar özensiz üreten şirketler için neredeyse hiçbir hesap verme mekanizması yok
      Her veri ihlalinde, o şirketin ölçeğine uygun bir zarar doğmalı
      Örneğin Equifax olayı neredeyse şirketi çökertecek seviyede olmalıydı
      Ancak milyarlarca dolarlık cezalar olursa insanlar ciddiye alır ve iç denetimleri düzgün yapar
      Şu an pratikte güvenliğe önem vermek için hiçbir neden yok

    • Şirketler gerçekten büyük cezalarla karşılaşsaydı, örneğin düzenleyicilerin zararı hesaplayıp uzun vadeli yaptırımlar uyguladığı bir sistem olsa, hisse fiyatı düşer ve şirketler güvenliği ciddiye almak zorunda kalırdı
      Gerçekte ise bunun tam tersi oluyor; şirketler çoğu zaman hafif bir uyarıyla kurtuluyor

    • İlginç bir argüman
      Ama white hat ve gray hat'lerin ikisi de yasal koruma alırsa, black hat hacker'lar önceden istedikleri kadar sistemi hack'leyip sonra da "Ben sadece zafiyet arıyordum" diye bahane üretebilir gibi geliyor
      Hatta zafiyeti bildirmeden tüm yöntemleri akıllarında tutup bunu istedikleri zaman gerçek saldırılarda kullanabilirler
      Hayatları boyunca white hat gibi davranıp gerçekte bu bilgileri gizlice satabilirler bile
      Mevcut sistem en azından böyle davranışları caydırıyor

    • Bunun sorun olmaması için web'in belli ölçüde anonim olması ve yanlışlıkla güvenlik açığı bulan ya da olağan bir işlem yaparken bir soruna yol açan kişilerin suçlu sayılmaması gerekirdi
      Ayrıca veritabanlarında string yerine asimetrik şifrelemeyle üretilmiş token'lar tutulsa ve sızıntı olduğunda kullanıcılar hizmet sağlayıcıdan tazminat alabilse çözüm daha kolay olabilir
      Ama hiçbir şirket kullanıcıyı gerçekten bu şekilde korumayı garanti altına almak istemiyor
      Sonuçta güvenlik faaliyetlerinin çoğu göstermelik

    • Tüm güvenlik araştırmaları aynı değil; bunu ayırmak önemli
      Birçok kişinin üzerinde anlaşabileceği sağduyulu araştırmalar — örneğin bir açığı tesadüfen bulup bildirmek gibi — kesinlikle korunmalı
      Buna karşılık açık izin olmadan yapılan sızma testleri gerçekten sistemlerde karışıklığa yol açabilir
      Herkese sınırsız izin verilirse düzgün kurulmuş sistemler bile sekteye uğrayabilir
      Şifreleme algoritmaları gibi teknik olarak çözülebilen alanlar var ama siber güvenlik hâlâ hukuk ve güvene dayanıyor

  • Bu bitmeyen veri sızıntıları teşvik yapısı değiştirilirse azalabilir ama bunun pratikte zor olduğunu düşünüyorum
    Tamamen önlenemeyeceğini kabul etmemiz gerekiyor — insanlar hata yapar ve ölçek büyüdükçe hata da artar
    Bu da hiçbir çaba göstermemek gerektiği anlamına gelmez
    Alternatif olarak, kişisel veri sızıntısının zararını azaltacak bazı yöntemleri de birlikte uygulamak gerek
    Doğum tarihi, isim, adres, telefon numarası, e-posta, SSN gibi bilgilerin gizli olduğunu varsaymamalı; bunun yerine gerçekten 'kimlik hırsızlığı'nda kötüye kullanılabilen yolları kapatmalıyız
    Ben identity theft teriminden nefret ediyorum — sanki mağdur bir hata yapmış gibi hissettiriyor
    Aslında sorun, şirketlerin karşı tarafın kimliğini üstünkörü doğrulayıp işlem yapması
    Sorumluluğun ağırlığı şirkette olmalı
    Örneğin bir banka benim adıma kredi verirse bunun sorumluluğu bende değil bankada olmalı
    Sadece bu yapı değişse bile şirketler kimlik doğrulamayı çok daha sıkı yapar ve teşvikler hizalanır
    Elbette veri sızıntısı sorunu yalnızca kimlik hırsızlığından ibaret değil ama bu kısmı bile epey çözülebilir diye düşünüyorum

    • identity theft teriminden nefret ettiğime katılıyorsanız şu skeç videosunu önermek isterim
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • 'Teşvikler düzeltilirse sızıntılar azalır' iddiasıyla ilgili olarak, sızıntının sonuçlarını yönetmenin maliyetinin bunu kökten önlemenin maliyetinden gerçekten daha yüksek olup olmadığı konusunda emin değilim
      Ulusal güvenlikle bağlantılı durumlar dışında, zararın önlem maliyetinden büyük olduğunu kesin biçimde söylemek biraz zor

    • 'Kimlik hırsızlığı' terimi bana mutlaka mağdurun hatası varmış gibi gelmiyor
      Birinden bir şey çalınmış olması, o kişinin hatalı olduğu anlamına gelmez
      Banka kasasından param çalınsa bu benim suçum olmazdı
      Ancak siber güvenlikte saldırgan dünyanın öbür ucunda bir yerde olabiliyor, bu da mağduru korumayı zorlaştırıyor
      Sonuçta mağdur yine mağdurdur

    • Çözüm zaten var — MFA (çok faktörlü kimlik doğrulama) ve IdP (kimlik sağlayıcısı) federasyonu
      Biri bildiğiniz şey (veri), diğeri sahip olduğunuz şey ya da biyometrik veri (parmak izi gibi)
      IdP her iki doğrulamayı da yapar ve doğrulama sorumluluğu da dağılmış olur
      Ehliyet örneğinde olduğu gibi, ben onu taşıyorum ve devlet sisteminden de doğrulanabiliyor
      Sorun, birçok yerde ikinci doğrulama yöntemi olarak yüz tanımanın kullanılması ve bunun ciddi mahremiyet riski yaratması
      Uzun vadede devlet tek IdP hâline bile gelebilir
      Biyometrik olmayan yöntemlerin ölçeklenmesinde gerçek zorluklar var ama parmak izi gibi yöntemler zaten birçok ülkede yönetildiği için yüz tanımadan daha iyi olabilir diye düşünüyorum

  • Bu durum, yöneticiler iflas etmeden ya da hatta ihmalkârlık nedeniyle hapse girmeden asla, asla ortadan kalkmayacak
    Böyle olsa bile ancak sıklığı ve şiddeti azalır

    • Kasıtlı ihmal ya da kötü niyetli davranış yoksa birini hapse atmanın çözüm olduğunu sanmıyorum
      Güvenlik olaylarının çoğu hatalardan kaynaklanıyor
      Şirkete mali darbe vurmak caydırıcı olabilir ama şirket batarsa yüzlerce hatta binlerce insan bir anda işsiz kalabilir
      Sonuçta sadece yanlış bir firewall ayarı ya da bir çalışanın sosyal mühendislik saldırısına kanması bile şirkete çok büyük zarar verebilir
      Bunun yerine, cloud, SaaS ve internet bağlantılı sistemlerin temelde güvenli olmadığını kabul edip kullanımlarını ciddi biçimde sınırlamak daha gerçekçi olabilir
      Ya da isim, SSN, doğum tarihi, adres, annenin kızlık soyadı gibi bilgiler sızsa bile anlam ifade etmeyecek bir toplumsal yapı kurmak da bir seçenek

    • Bu, limited liability'yi kaldıralım demek
      Hissedarlar mağdurların zararının tamamından tüm mal varlıklarıyla sorumlu olsun demek
      Kâr etmek istiyorsan doğal olarak tüm riskini de kendin taşımalısın

    • GDPR yürürlüğe girerken yöneticilerin nihayet hack olaylarından doğrudan sorumlu tutulacağı diye tanıtım yapıldığını ve insanların buna çok umut bağladığını hatırlıyorum
      Ben o zaman bunun saçmalık olduğunu düşünüyordum ve gerçekten de öyle çıktı
      Yasal sorumluluk doğması için ağır ihmalin kanıtlanması gerekiyor ve mahkemede kaçış yolu çok
      Görev süresinde olan biten her şeyden yöneticilerin sorumlu tutulduğu bir çağ asla gelmeyecek

  • Bence müşteri başına sızdırılan her kayıt için otomatik olarak £1,000 ceza kesilmeli
    Milyonlarca müşterisi olan bir şirket için bu şirketin sonu anlamına gelebilir
    Gerçekte ise kimse umursamıyor, sızıntı olunca da bir gün ılık bir özür e-postası gönderip geçiyorlar
    Birleşik Krallık'ta ICO (Bilgi Komiserliği Ofisi), Ofwat kadar anlamsız ve tehlikeli derecede işe yaramaz bir kurum
    (Yazım hatası düzeltildi)

    • Ceza doğrudan müşterilere ödenmeli
      Şu anki düzende toplu davadan bir yıl kadar sonra kişi başına birkaç sent düşüyor ve bunun müşteriye gerçek bir faydası olmuyor

    • "Şirket toparlanamaz hâle gelir" deniyor ama bu durumda o şirketin müşterilerine ne olacağı sorusu var
      Bu, mağdurlara ikinci kez zarar vermek olmaz mı?

    • Ceza çok büyük olursa tüm ülke ekonomisi etkilenmez mi diye endişeleniyorum

  • Allianz gerçekten bu tür siber saldırılara karşı sigorta sunuyor
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • Sigortanın kendisi sorunun bir parçası
      Çünkü şirketler güvenli yazılım geliştirmeye, araştırmaya ve yatırıma yönelmek yerine sadece sigorta yaptırmayı daha ucuz buluyor
      Bu yapı sürdükçe hiçbir şey değişmez

    • En azından sözleşme gereği zorunlu olan endpoint korumasının düzgün çalıştığı ortaya çıkmış oldu

  • Salesforce geliştiricilerinin ürünü yeterince iyi bilmemesi de nedenlerden biri ve Salesforce'un kendisinin de güvenliği çok ciddiye almaması ayrı bir sorun
    Doğru yapılandırılmamış ortamlarda, kimlik doğrulama olmadan sadece iki web isteğiyle alınabilecek tüm verileri görebilirsiniz
    İzleme sistemi de doğru düzgün yok, bu yüzden Salesforce'un yetersiz log'larına dayanarak dışarıdan tüm güvenlik izleme düzenini tasarlamak zorunda kaldım
    Başvurulabilecek bir rehber de var, buraya bırakıyorum
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    Bunu otomatikleştirip reconnaissance sonunda Salesforce sitelerini bile bulabilirsiniz
    Bunu bizzat yaptım

  • Haberde, "16 Temmuz 2025'te kötü niyetli bir hacker, Allianz Life'ın kullandığı üçüncü taraf bir bulut tabanlı CRM sistemine erişti" deniyor
    Bu 'üçüncü taraf, bulut CRM'in tam olarak ne olduğunu gerçekten merak ediyorum

    • Google'ın yakın zamanda Salesforce hakkında yazdığı şu yazı da faydalı olabilir
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • Başka bir haberde bunun Salesforce olduğu belirtilmişti ve çoğu zaman verinin sahibi olan taraf güvenliği gevşek bırakıyor
      İnternette yanlış yapılandırılmış Salesforce tenant'ları her yerde

    • Hangi sistem olduğu o kadar da önemli değil, değil mi
      Sebep teknik bir hack değil, sosyal mühendislik saldırısıydı

    • Kullanılan CRM'e bağlı olarak bu bir HIPAA ihlali sayılabilir mi diye merak ediyorum

  • Veri güvenliğini kötü yönetseler bile büyük şirketlere yönelik gerçek bir ceza neredeyse yok
    Devlet SSN değiştirmeyi neredeyse imkânsız hâle getirmişken hâlâ SSN'yi kimlik doğrulamada kullanıyor
    Bu yüzden çoğu insan zaten fiilen ifşa edilmiş durumda

  • Haberde belirtildiği gibi, çağrı merkezleri üzerinden yapılan sosyal mühendislik saldırılarının yanı sıra şirket bilgileri internette fazlasıyla açıkta
    Örneğin LinkedIn, sosyal mühendislik için adeta bir hazine
    Profiller bağlantınız olsun olmasın, giriş yapmış herkes tarafından görülebildiği için daha fazla şirketin çalışan profillerini aktif biçimde denetlememesi bana tuhaf geliyor

  • Müşteriler için büyük bir sıkıntı, şirket için de zarar ama bir noktada bunun 'ortak alanların trajedisi' gibi toplumsal bir sistem arızası olarak görülmesi gerekip gerekmediğini merak ediyorum
    Hukuken, bir banka kimlik doğrulamada yalnızca kötüye kullanılma riski yüksek herkese açık bilgilere (SSN veya annenin kızlık soyadı gibi) dayanıyorsa, gerçek bir olay yaşandığında sorumluluk bankada olmalı gibi geliyor