The New York Times, Ocak 2024’te GitHub depolarından çalınan dahili kaynak kodu ve verilerinin 4chan mesaj panosuna sızdırıldığını doğruladı. Olay, VX-Underground tarafından tespit edildi ve çalınan verileri içeren 273 GB’lık bir arşivin torrent bağlantısı anonim bir kullanıcı tarafından Perşembe günü paylaşıldı.
4chan forumundaki paylaşımda, “Temelde tüm kaynak kodları The New York Times Company’ye ait, 270GB” ifadeleri yer aldı. “Yaklaşık 5 bin depo var (bunlardan 30’dan azı ek olarak şifrelenmiş sanırım), toplam 3,6 milyon dosya, sıkıştırılmamış tar.” BleepingComputer arşivi indirmezken, tehdit aktörü şirketin GitHub deposundan çalınan 6.223 klasörün tam listesini içeren bir metin dosyası paylaştı.
Çalınan Verilerin İçeriği
Klasör adları, aralarında viral Wordle oyununun da bulunduğu iddia edilen BT belgeleri, altyapı araçları ve kaynak kodu da dahil olmak üzere geniş bir yelpazeyi içeriyor. Bu, şirketin yazılım geliştirme ve BT altyapısına dair kritik bilgilerin ifşa olduğunu gösteriyor.
Arşivdeki bir ‘readme’ dosyası, tehdit aktörünün şirketin depolarına erişmek ve verileri çalmak için açıkta kalan bir GitHub tokenını kullandığını belirtiyor. The New York Times, BleepingComputer’a yaptığı açıklamada, ihlalin Ocak 2024’te bulut tabanlı bir üçüncü taraf kod platformunun kimlik bilgilerinin açığa çıkmasından sonra meydana geldiğini söyledi. Sonraki bir e-posta, bu kod platformunun GitHub olduğunu doğruladı. Şirket, GitHub hesabının ihlalinin dahili kurumsal sistemlerini etkilemediğini ve operasyonlarını sekteye uğratmadığını belirtti.
Diğer Büyük Sızıntılar
Times sızıntısı, bu hafta 4chan’de yayınlanan ikinci büyük sızıntıdır. İlk olarak, Disney’in popüler oyunu Club Penguin’e ait 415 MB’lık çalıntı dahili belgeler sızdırıldı. Kaynaklar, BleepingComputer’a, Club Penguin sızıntısının Disney’in Confluence sunucusuna yönelik daha büyük bir ihlalin parçası olduğunu ve tehdit aktörlerinin 2,5 GB dahili kurumsal veriyi çaldığını söyledi.
New York Times ve Disney ihlallerini gerçekleştirenin aynı kişi olup olmadığı ise henüz bilinmiyor. Ancak her iki olay da, büyük kuruluşların güvenlik açıklarının ne kadar ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne serdi.
Güvenlik Uzmanlarının Yorumu
Güvenlik uzmanları, bu tür ihlallerin genellikle şirketlerin güvenlik protokollerinde ciddi zafiyetler olduğunu gösterdiğini belirtiyor. Özellikle, açıkta kalan kimlik bilgileri ve zayıf erişim kontrolleri, bu tür saldırılara davetiye çıkarıyor. Uzmanlar, şirketlerin bu tür olaylardan ders çıkararak güvenlik önlemlerini güçlendirmeleri gerektiğini vurguluyor.
Amit Assaraf, bir güvenlik analisti, “Bu tür ihlaller, sadece bir şirketin değil, potansiyel olarak binlerce kullanıcının ve müşterinin de güvenliğini tehlikeye atar” dedi. “Şirketlerin, siber güvenlik konusunda proaktif olmaları ve düzenli olarak güvenlik denetimleri yapmaları hayati önem taşır.”
Gelecekteki Adımlar ve Öneriler
Araştırmacılar, gelecekte bu tür olayların önlenmesi için aşağıdaki önerileri sunmaktadır:
- Güçlü Kimlik Doğrulama Protokolleri: Çok faktörlü kimlik doğrulama (MFA) ve düzenli parola yenileme süreçleri uygulanmalı.
- Erişim Kontrolleri ve İzleme: GitHub gibi platformlara erişim sınırlı tutulmalı ve sürekli izleme yapılmalı.
- Düzenli Güvenlik Denetimleri: Şirket içi ve dışı güvenlik denetimleri, potansiyel açıkların tespit edilmesini sağlar.
- Çalışan Eğitimleri: Çalışanlar, siber güvenlik tehditleri ve bu tehditlere karşı alınacak önlemler konusunda düzenli olarak eğitilmelidir.
Bu tür önlemler, şirketlerin sadece bugünkü tehditlere karşı değil, gelecekte karşılaşabilecekleri olası tehditlere karşı da hazırlıklı olmalarını sağlar. The New York Times ve Disney gibi büyük kuruluşların yaşadığı bu ihlaller, siber güvenlik konusunun ne kadar önemli olduğunu bir kez daha ortaya koyuyor.