1 puan yazan GN⁺ 2025-11-14 | 1 yorum | WhatsApp'ta paylaş
  • Ödeme platformu Checkout.com, bir siber suç örgütünün şantaj girişimiyle karşılaştı; ancak fidye ödemeyi reddetti ve bunun yerine söz konusu tutarı siber güvenlik araştırmalarına bağışladı
  • Saldırganlar, 2020'den önce kullanılan eski bir üçüncü taraf bulut dosya depolama sistemine yetkisiz erişim sağlayarak bazı verileri ele geçirdi
  • Checkout.com, ödeme işleme platformunun, satıcı fonlarının ve kart bilgilerinin hiçbir şekilde etkilenmediğini belirtti
  • Şirket, toplam satıcıların %25'inden azının etkilenmiş olabileceğini tahmin ediyor ve emniyet güçleri ile düzenleyici kurumlarla iş birliği yapıyor
  • Carnegie Mellon University ve University of Oxford Cyber Security Center'a bağış yaparak, şeffaflık ve güvenin sektörün temel değerleri olduğunu yeniden vurguladı

Olayın özeti

  • Checkout.com, geçen hafta "ShinyHunters" adlı suç örgütü tarafından kendileriyle bağlantılı verilerin ele geçirildiği iddiasıyla iletişime geçildi ve fidye talep edildi
  • Soruşturma sonucunda saldırganların, 2020'den önce kullanılan üçüncü taraf bir bulut dosya depolama sistemine yetkisiz erişim sağladığı doğrulandı
    • Söz konusu sistem, iç operasyon belgeleri ve satıcı onboarding materyallerini depolamak için kullanılıyordu
    • Checkout.com, bu sistemin uygun şekilde devreden çıkarılmamış olmasını bir hata olarak kabul etti
  • Şirket, olayın ödeme işleme platformunu etkilemediğini ve saldırganların satıcı fonlarına ya da kart numaralarına erişemediğini belirtti

Etki ve alınan önlemler

  • Checkout.com, mevcut satıcılarının %25'inden azının etkilenmiş olabileceğini tahmin ediyor
  • Şirket, etkilenen satıcıları belirleme ve tek tek iletişime geçme sürecini yürütüyor; ayrıca emniyet güçleri ve ilgili düzenleyici kurumlarla iş birliği yapıyor
  • Checkout.com, şeffaflık ve hesap verebilirliği vurgulayarak, iş ortakları ve müşterileri nezdinde güveni koruma iradesini ifade etti

Fidyeyi reddetme ve bağış kararı

  • Checkout.com, suçlulara fidye ödemeyeceğini açıkladı
  • Bunun yerine, saldırıda talep edilen tutarı Carnegie Mellon University ve University of Oxford Cyber Security Center'a siber suç araştırmalarını desteklemek için bağışladı
  • Şirket, bu olayı sektör genelinde güvenlik yatırımlarını teşvik edecek bir fırsata dönüştüreceğini söyledi

Şirketin tutumu ve taahhütleri

  • Checkout.com, "güvenlik, şeffaflık ve güven sektörün temelidir" diyerek, hatasını kabul ettiğini ve satıcılarını koruyacağını ifade etti
  • Şirket, dijital ekonomiyi tehdit eden suç faaliyetlerine karşı mücadeleye yatırım yapacağını vurguladı
  • Satıcılar, mevcut Checkout iletişim kanalları üzerinden destek talep edebilir

Sonuç

  • Checkout.com, bu olayla birlikte siber şantaja karşı kararlı bir duruş sergiledi ve
    güvenlik araştırmalarına yaptığı bağışla sektör genelindeki savunma kapasitesini güçlendirmeyi hedefledi
  • Şirket, şeffaf açıklamalar ve sorumlu adımlar aracılığıyla satıcı güvenini yeniden tesis etmeye odaklanıyor

1 yorum

 
GN⁺ 2025-11-14
Hacker News yorumu
  • Birkaç yıl önce ShinyHunters üyeleri FBI tarafından tutuklanmıştı
    Ben de onlardan biri olan Sebastian Raoult ile aynı hapishanedeydim ve epey sohbet etmiştik
    Büyük ölçekli phishing saldırıları için gösterdikleri ısrar gerçekten şaşırtıcıydı. Erişimlerin çoğunu bu şekilde elde etmişlerdi; bunun dışında da GitHub'da API endpoint'leri bulup sızdırılmış anahtarları arıyorlardı
    GitHub’ın otomatik tarayıcılarından pek hoşlanmıyordu
    İlgili haber: ABD Adalet Bakanlığı basın açıklaması

    • Genel olarak siber güvenlikte en zayıf halka çoğu zaman insandır
      Bu yüzden erişimi sosyal mühendislikle elde etmeleri şaşırtıcı değil
      İlginç olan, kendilerinin de sosyal mühendisliğin kurbanı olabilmeleri. Çevrimiçi oyunlar için exploit geliştirip genç hacker’ları cezbeden kişiler, sonuçta daha güvenli para kazanılan bir düzen kuruyor
    • Spor yayın siteleri işletmek yüzünden federal hapishaneye gitmek üzücü
      Acaba bulletproof hosting mi kullandı, yoksa ödeme sağlayıcısı üzerinden mi izlendi diye merak ediyorum
      Sitenin Sportsurge gibi yalnızca bağlantı verip vermediğini ya da akışları gerçekten host edip etmediğini de bilmek isterdim
    • GitHub tarayıcılarından hoşlanmamasının sebebi, onların fazla etkili olup faaliyetlerini engellemesi miydi, yoksa onları yetersiz bulduğu için miydi, merak ediyorum
    • “Büyük ölçekli phishing için gösterilen ısrar şaşırtıcı” derken tam olarak ne kastedildiğinin açıklanmasını isterdim
  • Şirketin özür açıklamasındaki şu bölüm

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    gerçekten hoşuma gitti. Bunu bir LLM ya da PR ekibi yazmış olsa bile, samimiyet hissi veren bir cümleydi

    • Böyle özür metinlerini görünce aklıma hep South Park’taki BP parodisi sahnesi geliyor
      Gerçek bir özürden daha önemli olan şey kök neden analizi ve tekrarını önleyecek tedbirlerdir.
      Müşteri verilerini işleyen eski sistemlerden daha kaç tane olduğu ve bütçeyi kimin engellediği ortaya konmadan güven geri kazanılamaz
      Gerçek özür sözle değil, telafiyle gösterilmelidir
    • “We are sorry.” ifadesi şirketlerin neredeyse hiç kullanmadığı nadir bir ifade, bu yüzden taze geldi
    • “We are fully committed to maintaining your trust.” yerine “rebuilding your trust” demenin daha doğru olduğunu düşünüyorum
    • “Failin yakalanmasına yol açacak bilgi verene 500 bin dolar ödeyeceğiz” gibi sert bir tutum aslında daha fazla güven verebilir
    • “due to an abundance of caution” gibi klişe bir ifade olmaması hoşuma gitti. Genel olarak örnek bir yanıt gibi görünüyor
  • Müşteri olsaydım kızardım ama bu yanıtın şartlar içinde mümkün olan en iyi biçim olduğunu düşünüyorum

    • Hızlı tepki, şirketin gönüllü açıklaması, samimi özür, etkilenen alanın açıklanması gibi çoğu ölçüt karşılandı
    • Ama iş “üzgünüz” demekle biterse sektör çok daha büyük bir felaketle karşılaşır
      Hukuki sorumluluk, geri ödemeler ve daha sıkı düzenlemeler birlikte gelmeli
    • “Hızlı tepki” deniyor ama saldırıyı doğrudan kendileri tespit etmedi; saldırgan iletişime geçtikten sonra açıklama yaptılar, o yüzden gerçekten ne kadar hızlı olduğu tartışılır
    • Müşteri açısından bakınca, “veri sızıntısını önlemek için fidyeyi ödemek” daha iyi bir seçim de olabilirdi
      Şeffaflık adına denetim sonuçlarının ve postmortem’in de paylaşılmasını isterdim
  • Bağış, gerçek güvenlik iyileştirmesinden çok gösteriş amaçlı bir hamle gibi geliyor
    Zaten bilinen güvenlik uygulamalarına uymak daha önemli. O para güvenlik personeli işe almak ya da sistemleri güçlendirmek için kullanılmalıydı
    (Not: saldırı, kullanımdan kaldırılmamış bir legacy sistemde gerçekleşti)

    • Ben bu bağışı suçlulara karşı bir meydan okuma olarak görüyorum. Verilen mesaj, “Paramız var ama size vermiyoruz”
      Bu sadece erdem gösterisi değil, aynı zamanda “fidye taleplerine boyun eğmeyiz” sinyali
    • Yine de böyle bir durumda olumlu bir sinyal göndermek kötü değil
      Fidyeyi ödeselerdi muhtemelen daha fazla saldırıyı teşvik etmiş olurlardı
      Para kaybedilecekse bile, onu değerli bir yöne harcamak akıllıca
    • Şu aşamada erdem gösterisinin, kötülük gösterisinden daha iyi olduğunu düşünüyorum
    • ‘Virtue signaling’ ifadesi çoğu zaman ikiyüzlü davranışları eleştirmek için kullanılır, ama bu örnekte olduğu gibi suçlularla pazarlık etmeyip güvenlik araştırmalarını desteklemek uzun vadede doğru yöndür
    • Yine de müşteri açısından bakıldığında, fidyeyi ödemek zararı azaltan bir sonuç da doğurabilirdi.
      Bunun suçluları fonlamak gibi olumsuz bir yanı var, ama ödeme yapılmazsa müşterilerin daha büyük zarar görme ihtimali de bulunuyor
  • “Saldırgan üçüncü taraf bir bulut depolama sistemi üzerinden erişim sağladı” ifadesi biraz sorumluluktan kaçma gibi geliyor

    • Saldırganlar hassas verilere de ulaşsaydı, şirketin tepkisinin ne kadar farklı olacağını merak ediyorum
    • Şirketlerin çoğunun kod tabanı hâlâ legacy teknolojilerle dolu
      Böyle bir olay patlayınca bir hafta kadar alay konusu oluyor, sonra bitiyor. Sonuçta temel düzeyde neredeyse hiçbir şey değişmiyor
  • Böyle kamusal bir yanıt ve bağış bence cesur bir karar
    Mükemmel güvenlik imkânsız ve henüz bir postmortem yayımlanmadığı için erken hüküm vermek zor
    Saklamadan açıklamaları ve akademik bağış yoluyla kamu yararı odaklı bir yaklaşım benimsemeleri takdire değer

    • Hacker News’te alaycı tavrın bazen entelektüel üstünlük göstergesi gibi görülme eğilimi var
  • “İç operasyon belgeleri ve üye işyeri onboarding materyallerinde kullanılan sistem” ifadesine bakınca, bunun muhtemelen KYC sürecinde toplanan belgeler olduğu anlaşılıyor
    Yani şirket evrakları ya da pasaport/kimlik taramaları da dahil olabilir
    Bu tür verilerde kimlik hırsızlığı riski yüksektir ve yıllarca geçerliliğini koruyabilir

    • Ama pasaport taramalarının sıradan KYB belgeleriyle birlikte tutulmuş olma ihtimali düşük
      GDPR sonrasında böyle hassas veriler ayrı güvenlik bölgelerinde saklanıyor
      Muhtemelen sadece onboarding ekibinin kullandığı PDF veya anket belge deposuydu
  • “Müşterilerin %25’inden azı etkilendi” denmesi, eğer ben o grubun içindeysem telafisi olmayan jestlerle tatmin olmamı sağlamaz

  • “OXCIS” Oxford Centre for Islamic Studies anlamına geliyor, yani orası değil gibi görünüyor
    Gerçek bağış noktası muhtemelen Oxford University’nin Cyber Security araştırma merkezi

  • Fintek sektöründe çalışmış biri olarak, burada sızan şeyin büyük ihtimalle üye işyeri KYB belgeleri olduğunu düşünüyorum
    Bunlar işletme risk değerlendirmesinde kullanılan belgelerdir; ödeme bilgileri veya PAN kadar hassas değillerdir
    Elbette hack kötü bir şey ama bu veriler bazen halka açık bilgi de olabiliyor
    Şirketin bunu şeffaf biçimde açıklamış olmasını takdir ediyorum

    • Ama KYB belgeleri çoğu zaman nihai faydalanıcının veya yönetim kurulu üyelerinin pasaportu, vergi kimlik numarası gibi bilgileri de içerir
      Dolayısıyla varlıklı kişileri hedef alan kimlik hırsızlığı riski de vardır