Checkout.com'un hack saldırısına yanıtı: fidyeyi reddedip güvenlik araştırmalarına bağış yaptı
(checkout.com)- Ödeme platformu Checkout.com, bir siber suç örgütünün şantaj girişimiyle karşılaştı; ancak fidye ödemeyi reddetti ve bunun yerine söz konusu tutarı siber güvenlik araştırmalarına bağışladı
- Saldırganlar, 2020'den önce kullanılan eski bir üçüncü taraf bulut dosya depolama sistemine yetkisiz erişim sağlayarak bazı verileri ele geçirdi
- Checkout.com, ödeme işleme platformunun, satıcı fonlarının ve kart bilgilerinin hiçbir şekilde etkilenmediğini belirtti
- Şirket, toplam satıcıların %25'inden azının etkilenmiş olabileceğini tahmin ediyor ve emniyet güçleri ile düzenleyici kurumlarla iş birliği yapıyor
- Carnegie Mellon University ve University of Oxford Cyber Security Center'a bağış yaparak, şeffaflık ve güvenin sektörün temel değerleri olduğunu yeniden vurguladı
Olayın özeti
- Checkout.com, geçen hafta "ShinyHunters" adlı suç örgütü tarafından kendileriyle bağlantılı verilerin ele geçirildiği iddiasıyla iletişime geçildi ve fidye talep edildi
- Soruşturma sonucunda saldırganların, 2020'den önce kullanılan üçüncü taraf bir bulut dosya depolama sistemine yetkisiz erişim sağladığı doğrulandı
- Söz konusu sistem, iç operasyon belgeleri ve satıcı onboarding materyallerini depolamak için kullanılıyordu
- Checkout.com, bu sistemin uygun şekilde devreden çıkarılmamış olmasını bir hata olarak kabul etti
- Şirket, olayın ödeme işleme platformunu etkilemediğini ve saldırganların satıcı fonlarına ya da kart numaralarına erişemediğini belirtti
Etki ve alınan önlemler
- Checkout.com, mevcut satıcılarının %25'inden azının etkilenmiş olabileceğini tahmin ediyor
- Şirket, etkilenen satıcıları belirleme ve tek tek iletişime geçme sürecini yürütüyor; ayrıca emniyet güçleri ve ilgili düzenleyici kurumlarla iş birliği yapıyor
- Checkout.com, şeffaflık ve hesap verebilirliği vurgulayarak, iş ortakları ve müşterileri nezdinde güveni koruma iradesini ifade etti
Fidyeyi reddetme ve bağış kararı
- Checkout.com, suçlulara fidye ödemeyeceğini açıkladı
- Bunun yerine, saldırıda talep edilen tutarı Carnegie Mellon University ve University of Oxford Cyber Security Center'a siber suç araştırmalarını desteklemek için bağışladı
- Şirket, bu olayı sektör genelinde güvenlik yatırımlarını teşvik edecek bir fırsata dönüştüreceğini söyledi
Şirketin tutumu ve taahhütleri
- Checkout.com, "güvenlik, şeffaflık ve güven sektörün temelidir" diyerek, hatasını kabul ettiğini ve satıcılarını koruyacağını ifade etti
- Şirket, dijital ekonomiyi tehdit eden suç faaliyetlerine karşı mücadeleye yatırım yapacağını vurguladı
- Satıcılar, mevcut Checkout iletişim kanalları üzerinden destek talep edebilir
Sonuç
- Checkout.com, bu olayla birlikte siber şantaja karşı kararlı bir duruş sergiledi ve
güvenlik araştırmalarına yaptığı bağışla sektör genelindeki savunma kapasitesini güçlendirmeyi hedefledi - Şirket, şeffaf açıklamalar ve sorumlu adımlar aracılığıyla satıcı güvenini yeniden tesis etmeye odaklanıyor
1 yorum
Hacker News yorumu
Birkaç yıl önce ShinyHunters üyeleri FBI tarafından tutuklanmıştı
Ben de onlardan biri olan Sebastian Raoult ile aynı hapishanedeydim ve epey sohbet etmiştik
Büyük ölçekli phishing saldırıları için gösterdikleri ısrar gerçekten şaşırtıcıydı. Erişimlerin çoğunu bu şekilde elde etmişlerdi; bunun dışında da GitHub'da API endpoint'leri bulup sızdırılmış anahtarları arıyorlardı
GitHub’ın otomatik tarayıcılarından pek hoşlanmıyordu
İlgili haber: ABD Adalet Bakanlığı basın açıklaması
Bu yüzden erişimi sosyal mühendislikle elde etmeleri şaşırtıcı değil
İlginç olan, kendilerinin de sosyal mühendisliğin kurbanı olabilmeleri. Çevrimiçi oyunlar için exploit geliştirip genç hacker’ları cezbeden kişiler, sonuçta daha güvenli para kazanılan bir düzen kuruyor
Acaba bulletproof hosting mi kullandı, yoksa ödeme sağlayıcısı üzerinden mi izlendi diye merak ediyorum
Sitenin Sportsurge gibi yalnızca bağlantı verip vermediğini ya da akışları gerçekten host edip etmediğini de bilmek isterdim
Şirketin özür açıklamasındaki şu bölüm
Gerçek bir özürden daha önemli olan şey kök neden analizi ve tekrarını önleyecek tedbirlerdir.
Müşteri verilerini işleyen eski sistemlerden daha kaç tane olduğu ve bütçeyi kimin engellediği ortaya konmadan güven geri kazanılamaz
Gerçek özür sözle değil, telafiyle gösterilmelidir
Müşteri olsaydım kızardım ama bu yanıtın şartlar içinde mümkün olan en iyi biçim olduğunu düşünüyorum
Hukuki sorumluluk, geri ödemeler ve daha sıkı düzenlemeler birlikte gelmeli
Şeffaflık adına denetim sonuçlarının ve postmortem’in de paylaşılmasını isterdim
Bağış, gerçek güvenlik iyileştirmesinden çok gösteriş amaçlı bir hamle gibi geliyor
Zaten bilinen güvenlik uygulamalarına uymak daha önemli. O para güvenlik personeli işe almak ya da sistemleri güçlendirmek için kullanılmalıydı
(Not: saldırı, kullanımdan kaldırılmamış bir legacy sistemde gerçekleşti)
Bu sadece erdem gösterisi değil, aynı zamanda “fidye taleplerine boyun eğmeyiz” sinyali
Fidyeyi ödeselerdi muhtemelen daha fazla saldırıyı teşvik etmiş olurlardı
Para kaybedilecekse bile, onu değerli bir yöne harcamak akıllıca
Bunun suçluları fonlamak gibi olumsuz bir yanı var, ama ödeme yapılmazsa müşterilerin daha büyük zarar görme ihtimali de bulunuyor
“Saldırgan üçüncü taraf bir bulut depolama sistemi üzerinden erişim sağladı” ifadesi biraz sorumluluktan kaçma gibi geliyor
Böyle bir olay patlayınca bir hafta kadar alay konusu oluyor, sonra bitiyor. Sonuçta temel düzeyde neredeyse hiçbir şey değişmiyor
Böyle kamusal bir yanıt ve bağış bence cesur bir karar
Mükemmel güvenlik imkânsız ve henüz bir postmortem yayımlanmadığı için erken hüküm vermek zor
Saklamadan açıklamaları ve akademik bağış yoluyla kamu yararı odaklı bir yaklaşım benimsemeleri takdire değer
“İç operasyon belgeleri ve üye işyeri onboarding materyallerinde kullanılan sistem” ifadesine bakınca, bunun muhtemelen KYC sürecinde toplanan belgeler olduğu anlaşılıyor
Yani şirket evrakları ya da pasaport/kimlik taramaları da dahil olabilir
Bu tür verilerde kimlik hırsızlığı riski yüksektir ve yıllarca geçerliliğini koruyabilir
GDPR sonrasında böyle hassas veriler ayrı güvenlik bölgelerinde saklanıyor
Muhtemelen sadece onboarding ekibinin kullandığı PDF veya anket belge deposuydu
“Müşterilerin %25’inden azı etkilendi” denmesi, eğer ben o grubun içindeysem telafisi olmayan jestlerle tatmin olmamı sağlamaz
“OXCIS” Oxford Centre for Islamic Studies anlamına geliyor, yani orası değil gibi görünüyor
Gerçek bağış noktası muhtemelen Oxford University’nin Cyber Security araştırma merkezi
Fintek sektöründe çalışmış biri olarak, burada sızan şeyin büyük ihtimalle üye işyeri KYB belgeleri olduğunu düşünüyorum
Bunlar işletme risk değerlendirmesinde kullanılan belgelerdir; ödeme bilgileri veya PAN kadar hassas değillerdir
Elbette hack kötü bir şey ama bu veriler bazen halka açık bilgi de olabiliyor
Şirketin bunu şeffaf biçimde açıklamış olmasını takdir ediyorum
Dolayısıyla varlıklı kişileri hedef alan kimlik hırsızlığı riski de vardır