Güvenlik Şirketi APIsec Kendi Verilerini Sızdırdı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Güvenlik Şirketi APIsec Kendi Verilerini Sızdırdı

Siber güvenlik firması APIsec.ai, Fortune 100 şirketlerinin %80'ine hizmet verdiğini iddia ederken, kendi müşteri verilerini korumasız bir veritabanında açıkta bıraktı. UpGuard'ın keşfi, sektördeki bu ironik durumu ortaya çıkardı.

APIsec veri sızıntısını gösteren bir sunucu odası illüstrasyonu; güvenlik açığı ve veri ihlali.

Ne Oldu

Siber güvenlik dünyasında ironi eksik olmaz, ama bu seferki gerçekten derslik. Kendi müşterilerini korumakla görevli bir güvenlik şirketinin, en temel güvenlik kurallarından birini ihlal ederek kendi müşterilerinin verilerini internetin ortasında savunmasız bırakması... Evet, tam olarak bu oldu. Güvenlik araştırma firması UpGuard, 1 Haziran 2026'da yayınladığı bir raporla, API güvenliği çözümleri sunan APIsec.ai'ye ait, herkese açık bir Elasticsearch veritabanı bulduğunu duyurdu. Bu öyle sıradan bir veritabanı değil. İçerisinde, APIsec'in müşterilerine ait olabilecek tonla hassas bilgi barındırıyordu.

Hikaye aslında oldukça tanıdık. Bir şirket, veri analizi veya loglama için güçlü bir araç olan Elasticsearch'ü kurar. Hızlıca devreye alınır, belki bir geliştirici test için kurmuştur, kim bilir. Ama o telaşla en önemli adım atlanır: bir şifre koymak. Sonuç? Milyonlarca dolarlık şirketlerin en mahrem teknik bilgilerini barındıran devasa bir veri yığını, internete bağlı olan ve doğru adresi bilen herkesin erişimine açılır. UpGuard'ın siber risk ekibi de tam olarak bunu yaptı. İnterneti düzenli olarak bu tür açık ve savunmasız sistemler için tararken, APIsec.ai'ye ait bu sunucuyla karşılaştılar. UpGuard, durumu fark eder etmez APIsec ile temasa geçti ve neyse ki veritabanı kısa sürede kapatılarak güvence altına alındı. Ama o veritabanı ne kadar süre boyunca açıktı? Kimler erişti? İşte bu sorular şu an hem APIsec'in hem de müşterilerinin zihnini kemiriyor.

Bu olay, "terzinin kendi söküğünü dikememesi" deyiminin siber güvenlikteki en net karşılıklarından biri. APIsec.ai, web sitesinde dünyanın en büyük şirketlerinin %80'ine hizmet verdiğini gururla ilan eden bir firma. API'ların (Uygulama Programlama Arayüzleri) güvenliği gibi son derece niş ve teknik bir alanda uzmanlaşmışlar. Yani işleri, dijital dünyanın kapı ve pencereleri olan API'ları korumak. Kendi evlerinin kapısını sonuna kadar açık unutmaları, tüm sektör için ciddi bir güvenilirlik sorgulamasını da beraberinde getiriyor.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Gecirilen Veriler

Peki, bu sonuna kadar açık bırakılan dijital kapının ardında ne vardı? UpGuard'ın raporuna göre, sızdırılan veriler bir saldırganın hayallerini süsleyecek cinsten. Veritabanı, APIsec'in kendi operasyonları ve müşteri etkileşimleriyle ilgili zengin bir veri seti içeriyordu. Bunları bir liste halinde sıralamak, durumun ciddiyetini daha iyi anlamamızı sağlayabilir:

  • Müşteri Bilgileri: Şirket isimleri, çalışanların e-posta adresleri, kullanıcı adları ve iletişim bilgileri. Bu bilgiler, doğrudan hedefli oltalama (spear-phishing) saldırıları için biçilmiş kaftan.
  • API Anahtarları ve Token'lar: Belki de en tehlikelisi bu. API anahtarları, farklı sistemlerin birbiriyle konuşmasını sağlayan dijital anahtarlardır. Eğer bu anahtarlar APIsec müşterilerine aitse, bir saldırgan bu anahtarları kullanarak o şirketlerin sistemlerine doğrudan, yetkili bir kullanıcı gibi sızabilir. Bu, bir bankanın ana kasasının anahtarını çalmak gibi bir şey.
  • Dahili Sistem Logları: Sunucu IP adresleri, kullanıcıların hangi tarayıcıları kullandığına dair bilgiler (user-agent strings), sistem hata mesajları ve diğer teknik kayıtlar. Bu veriler, bir şirketin iç ağının haritasını çıkarmak, zayıf noktalarını tespit etmek ve daha karmaşık saldırılar planlamak için kullanılabilir.
  • Güvenlik Taraması Sonuçları (Potansiyel): UpGuard'ın raporu bu konuda net bir detay vermese de, APIsec gibi bir şirketin müşterileri için yaptığı güvenlik taramalarının sonuçlarını veya ham verilerini bu tür bir veritabanında saklaması kuvvetle muhtemel. Eğer bu doğruysa, bu sızıntı, etkilenen şirketlerin tüm güvenlik açıklarının bir listesini saldırganlara sunmuş demektir. Bu, bir hırsıza, hangi evde alarm olmadığını ve hangi pencerenin kırık olduğunu gösteren bir liste vermekle eşdeğer.

Bu verilerin bir araya gelmesi, zincirleme bir felaket potansiyeli taşıyor. Bir saldırgan, ele geçirdiği e-posta adresleriyle oltalama saldırısı yapıp bir çalışanın parolasını çalabilir. Çaldığı parolayla sisteme girip, sızan API anahtarlarını kullanarak başka sistemlere atlayabilir. Ve tüm bunları yaparken, sızan sistem loglarından elde ettiği bilgilerle arkasında daha az iz bırakabilir. Kısacası, bu sadece bir veri sızıntısı değil; bu, onlarca büyük şirkete yönelik potansiyel bir siber saldırı başlangıç kiti.

Saldirnin Nasil Gerceklesti

Bu sızıntının arkasında karmaşık bir hackleme operasyonu, aylarca süren bir planlama veya devlet destekli bir siber ordu yok. Aksine, olay utanç verici derecede basit bir hatadan kaynaklanıyor. UpGuard'ın raporu, sızıntının kaynağının, parola koruması olmadan internete açık bırakılmış bir Elasticsearch veritabanı olduğunu belirtiyor.

Peki bu ne anlama geliyor? Elasticsearch, büyük miktarda veriyi çok hızlı bir şekilde aramak ve analiz etmek için kullanılan popüler bir açık kaynaklı veritabanı teknolojisi. Şirketler bunu genellikle uygulama loglarını, kullanıcı hareketlerini veya sistem metriklerini toplamak için kullanır. Güçlü bir araç, ama aynı zamanda doğru yapılandırılmazsa büyük bir risk. Varsayılan ayarlarıyla kurulduğunda, genellikle herhangi bir kimlik doğrulama mekanizması olmadan çalışır. Yani, sunucunun IP adresini bilen herkes, içindeki tüm verilere tam erişim sağlayabilir. Tıpkı kapısında kilit olmayan bir depo gibi.

Saldırganların veya araştırmacıların bu tür açık veritabanlarını bulması da zor değil. Shodan veya Censys gibi, internete bağlı tüm cihazları (sunucular, kameralar, buzdolapları, aklınıza ne gelirse) tarayan özel arama motorları var. Bu arama motorlarına girip "korumasız Elasticsearch sunucuları" gibi bir arama yapmak, dünya genelindeki binlerce savunmasız sistemi saniyeler içinde listeler. Muhtemelen APIsec'in sunucusu da bu şekilde keşfedildi. Birisi ya kasıtlı olarak böyle bir sunucu arıyordu ya da UpGuard gibi iyi niyetli bir araştırma ekibi rutin taramaları sırasında bu duruma rastladı.

Yani özetle, saldırı bir "saldırı" bile sayılmaz. Bu, daha çok, değerli eşyalarla dolu bir çantayı parkın ortasındaki bir bankta unutup gitmeye benziyor. Çantayı ilk kimin bulacağı ise tamamen şans meselesi. UpGuard'ın bulmuş olması, bu senaryodaki en iyi ihtimal.

Etkilenenler Kim

Bu sızıntının birincil kurbanı, şüphesiz, APIsec.ai'nin kendisi. Bir güvenlik şirketinin yaşayabileceği en büyük itibar krizlerinden biriyle karşı karşıyalar. Müşterilerine güvenlik satarken kendi verilerini koruyamamış olmaları, affedilmesi zor bir hata. Ancak asıl büyük risk altında olanlar, APIsec'in müşterileri.

APIsec, web sitesinde "Fortune 100 şirketlerinin %80'i tarafından kullanılıyor" iddiasında bulunuyor. Bu iddia doğruysa, sızıntının potansiyel etki alanı devasa. Bu şirketler arasında kimler olabilir? Finans devleri, teknoloji devleri, sağlık hizmeti sağlayıcıları, perakende zincirleri... Kısacası, küresel ekonominin bel kemiğini oluşturan kuruluşlar. Bu şirketlerin isimleri raporda tek tek açıklanmamış olsa da, sızan verilerde müşteri listelerinin bulunması, kimlerin etkilendiğini net bir şekilde ortaya koyuyor olabilir.

Etkilenenler sadece bu büyük şirketler de değil. Zincirleme etkiyi düşünün. Bu büyük şirketlerin hizmet verdiği milyonlarca son kullanıcı da dolaylı olarak risk altında. Eğer bir bankanın API anahtarları sızdırıldıysa, o bankanın müşterilerinin verileri de tehlikeye girebilir. Eğer bir e-ticaret devinin sistemlerine sızılırsa, milyonlarca kullanıcının kredi kartı bilgileri risk altına girebilir. Bu nedenle, sızıntının dalga dalga yayılan etkileri, ilk bakışta görünenden çok daha geniş olabilir.

Kısacası, etkilenenler listesi şöyle özetlenebilir:

  1. APIsec.ai: İtibar ve müşteri kaybı riskiyle karşı karşıya.
  2. APIsec'in Kurumsal Müşterileri: Doğrudan siber saldırı, veri hırsızlığı ve sistemlerine yetkisiz erişim riski altındalar.
  3. Bu Şirketlerin Müşterileri ve Son Kullanıcılar: Dolaylı olarak kişisel ve finansal verilerinin güvenliği tehlikeye girmiş olabilir.

Ne Yapabilirsin

Bu noktada klasik tavsiyeler vermek anlamsız. "Şifrenizi değiştirin" demek, okyanustaki bir yangını bir bardak suyla söndürmeye çalışmak gibi. Durum çok daha spesifik ve ciddi adımlar gerektiriyor. Eğer bu haber sizi ilgilendiriyorsa, işte yapmanız gerekenler:

Eğer bir APIsec.ai müşterisiyseniz (veya olduğunuzdan şüpheleniyorsanız):

  • Derhal Harekete Geçin: Vakit kaybetmeyin. APIsec ile olan tüm entegrasyonlarınızı ve onlarla paylaştığınız tüm bilgileri bir an için "sızdırılmış" olarak kabul edin. Bu bir varsayım değil, bir acil durum eylem planının başlangıcıdır.
  • Tüm API Anahtarlarını Değiştirin: APIsec sistemleriyle etkileşimde olan veya APIsec'e erişim izni verdiğiniz tüm API anahtarlarını, token'ları ve diğer kimlik bilgilerini derhal iptal edin ve yenileriyle değiştirin. Bu, kapınızın anahtarı çalındığında kilidi değiştirmekle aynı şeydir.
  • Resmi Açıklama Talep Edin: APIsec'teki ilgili kişilere ulaşın ve şirketinizin bu sızıntıdan nasıl etkilendiğine dair net, yazılı bir rapor isteyin. Hangi verilerinizin sızdırıldığını, veritabanının ne kadar süre açık kaldığını ve kimlerin erişmiş olabileceğine dair ellerindeki bilgileri talep edin.
  • İç Denetim Başlatın: Kendi sistemlerinizde, APIsec ile bağlantılı noktalarda herhangi bir şüpheli aktivite olup olmadığını kontrol etmek için acil bir denetim başlatın. Anormal API çağrıları, yetkisiz erişim denemeleri veya beklenmedik veri transferleri olup olmadığını inceleyin.

Eğer bir siber güvenlik profesyoneli veya BT yöneticisiyseniz:

  • Bu Olayı Bir Ders Olarak Kullanın: Bu sızıntı, üçüncü parti risk yönetiminin ne kadar hayati olduğunu bir kez daha gösteriyor. Hizmet aldığınız tüm tedarikçilerin (özellikle güvenlik tedarikçilerinin) güvenlik politikalarını ve uygulamalarını yeniden gözden geçirin. Onlara şu soruyu sorun: "Bizim verilerimizi nasıl koruyorsunuz?"
  • Kendi Varlıklarınızı Tarayın: Kendi bulut altyapınızda veya şirket ağınızda bu tür korumasız veritabanları, açık depolama alanları (S3 bucket'ları gibi) veya yanlış yapılandırılmış sunucular olup olmadığını kontrol etmek için düzenli taramalar yapın. Bazen en büyük tehdit dışarıdan değil, içerideki basit bir hatadan gelir.

Sirket Ne Diyor

Haberin kaynağı olan UpGuard'ın raporuna göre, APIsec.ai, sızıntı kendilerine bildirildikten sonra iş birliği içinde davrandı ve söz konusu veritabanını hızla güvence altına aldı. Bu, kriz anında atılması gereken doğru bir ilk adım. Ancak, haberin yazıldığı an itibarıyla, APIsec.ai'den kamuoyuna yönelik kapsamlı bir resmi açıklama veya bir blog yazısı henüz yayınlanmadı.

Şirketin web sitesi ve sosyal medya hesaplarında şu an için bir sessizlik hakim. Genellikle bu tür durumlarda şirketler, olayın boyutunu tam olarak anlamak, yasal yükümlülüklerini belirlemek ve müşterileriyle doğrudan iletişime geçmek için bir iç soruşturma yürütürler. Bu süreçte kamuoyuna hemen açıklama yapmaktan kaçınabilirler. Ancak, özellikle Fortune 100 şirketlerinin %80'ine hizmet verdiğini iddia eden bir firma için bu sessizlik, etkilenen müşteriler arasındaki belirsizliği ve endişeyi artırabilir. Önümüzdeki günlerde veya saatlerde APIsec'ten detaylı bir açıklama, bir özür ve müşterilerinin zararlarını en aza indirmek için atacakları adımları içeren bir yol haritası sunmaları bekleniyor. Bu açıklama geldiğinde, sızıntının gerçek boyutu ve etkileri hakkında daha net bir resme sahip olacağız.

Kaynak

https://www.upguard.com/breaches/data-leak-apisec

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Dow Jones Bulut Sızıntısı Milyonlarca Veriyi Açığa Çıkardı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.