NAIC ve ShinyHunters Arasında Veri Sızıntısı Anlaşmazlığı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti Karşılaştırma Tablosu
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform Integration Area
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

NAIC Siber Saldırı Sonrası Açıkladı: Veri Sızıntısı Var Ama Kritik Değil

ABD'nin sigorta düzenleyici kurumu NAIC, ShinyHunters grubunun Oracle PeopleSoft sistemlerine sızdığını doğruladı. Kurum, çalınan verilerin halka açık olduğunu iddia ederken, hacker grubu 3.1 TB'lık kritik veri sızdırdığını öne sürüyor.

Bir sunucu odası arka planında, NAIC ve ShinyHunters logoları arasında bir kilit simgesi.

Ne Oldu

Amerika Birleşik Devletleri'nin sigorta sektöründeki en önemli düzenleyici kurumlarından biri olan Ulusal Sigorta Komiserleri Birliği (NAIC), siber güvenlik dünyasının tanınmış fidye yazılımı gruplarından ShinyHunters tarafından hedef alındığını doğruladı. Kurum, 11 Haziran'da sistemlerine yetkisiz bir erişim tespit ettiğini ve derhal bir soruşturma başlattığını duyurdu. Saldırının, Oracle'ın yaygın olarak kullanılan PeopleSoft kurumsal yazılımındaki bir sıfırıncı gün (zero-day) güvenlik açığından kaynaklandığı belirtildi.

Olay, ShinyHunters grubunun NAIC'den fidye talep etmesi ve bu talebin reddedilmesi üzerine tırmanışa geçti. Fidye ödemesi alamayan grup, çaldığını iddia ettiği verileri internette sızdırdı. Bu gelişmenin ardından NAIC, siber saldırının boyutuna ve sızdırılan verilerin niteliğine ilişkin kendi bulgularını kamuoyu ile paylaştı. Ancak kurumun açıklamaları ile hacker grubunun iddiaları arasında ciddi çelişkiler bulunuyor. Bu durum, siber saldırının gerçek etkisine dair bir belirsizlik ortamı yaratırken, iki taraf arasında adeta bir iddia savaşı yaşanıyor.

Ele Geçirilen Veriler

Siber saldırıda hangi verilerin ele geçirildiği konusu, NAIC ve ShinyHunters arasında en büyük anlaşmazlık noktası olarak öne çıkıyor. İki tarafın anlatımı, olayın ciddiyetine dair tamamen farklı iki tablo çiziyor.

NAIC'in Açıklaması:

NAIC, yürütülen soruşturma sonucunda saldırganların hassas bilgilere ulaşamadığını savunuyor. Kuruma göre, sızdırılan veriler büyük ölçüde zaten kamuya açık olan bilgilerden oluşuyor. Bu veriler arasında şunlar yer alıyor:

  • Yasal Finansal Raporlar: Sigorta şirketlerinin düzenli olarak kamuya açıklamak zorunda olduğu mali durum raporları.
  • Kredi Derecelendirme Ajansı Verileri: Kurumun iş süreçlerinde kullandığı, ancak genel erişime açık olan derecelendirme verileri.
  • Eski Günlük (Log) Dosyaları: Sistemlerin geçmişteki aktivitelerini kaydeden ve güncelliğini yitirmiş log kayıtları.
  • Yapılandırma Bilgileri: Sistemlerin altyapısal konfigürasyon dosyaları.

NAIC, yaptığı açıklamada en önemli vurguyu, kişisel olarak tanımlanabilir bilgilerin (PII) veya herhangi bir finansal verinin sızdırıldığına dair hiçbir kanıt bulunmadığı yönünde yaptı. Kurum ayrıca, ShinyHunters'ın ele geçirdiğini iddia ettiği SERFF (Elektronik Tarife ve Form Dosyalama Sistemi), OPTins (Sigorta için Çevrimiçi Prim Vergisi) ve SBS (Devlet Tabanlı Sistemler) gibi kritik sigorta düzenleme platformlarının tehlikeye atıldığı iddialarını kesin bir dille yalanladı.

ShinyHunters'ın İddiaları:

Diğer yanda ise ShinyHunters grubu, çok daha büyük ve yıkıcı bir veri sızıntısı tablosu çiziyor. 25 Haziran'da yaptıkları bir güncelleme ile sızdırdıkları verilerin envanterini yayınlayan grup, toplamda 3.1 TB büyüklüğünde ve 105.000 dosyadan oluşan bir veri setine sahip olduklarını iddia ediyor. Grubun listesi şu şekilde:

  • INSData ve Vision sunucularından çalınan veriler.
  • 2017 ile 2024 yılları arasına ait, sigorta şirketlerine ait 264.000 adet düzenleyici dosyalama PDF'i.
  • 2.000 adet müşteri, sipariş ve ödeme kaydı.
  • Kredi derecelendirme ajanslarına ait 45.000 dosya.
  • NAIC'in kullandığı AWS altyapısının yapılandırma dosyaları.
  • SERFF, OPTins ve UCAA gibi kritik sistemlerin üretim ortamlarına ait saklanmış erişim kimlik bilgileri (kullanıcı adları ve şifreler).

Hacker grubu, ilginç bir itirafta da bulundu. Önceki veri özetlerinin, dosyaları değerlendirmek için kullandıkları yapay zekanın halüsinasyonları nedeniyle abartılı olduğunu belirttiler. Ancak, son yayınladıkları envanterin bir insan tarafından doğrulandığını ve doğru kabul edilmesi gerektiğini vurguladılar.

Saldırı Nasıl Gerçekleşti

Saldırının merkezinde, Oracle'ın PeopleSoft kurumsal kaynak planlama (ERP) yazılımında bulunan ve daha önce bilinmeyen bir güvenlik açığı yer alıyor. Bu tür zafiyetler, yazılım geliştiricisinin haberi olmadan keşfedilip kullanıldığı için "sıfırıncı gün" (zero-day) olarak adlandırılıyor. Saldırıda kullanılan zafiyet, CVE-2026-35273 koduyla tanımlandı.

ShinyHunters, bu zafiyeti kullanarak NAIC'in sistemlerine sızmayı başardı. Grup, bu saldırı yöntemini sadece NAIC'e karşı değil, geniş çaplı bir kampanya dahilinde kullandı. BleepingComputer'ın raporuna göre, Oracle bu güvenlik açığını kamuoyuna duyurmadan önce ShinyHunters, bu zafiyeti kullanarak hem bulut tabanlı hem de şirket içi (on-premises) Oracle PeopleSoft sunucularını hedef alan saldırılar düzenledi. Saldırıya uğrayan kurumlara, ShinyHunters imzalı şantaj notları bırakıldı. Grubun, aynı zafiyeti kullanarak 100'den fazla kuruluşu hedef aldığı ve bu kuruluşların çoğunun daha önce de şantaj girişimlerine maruz kalmış eğitim kurumları olduğu belirtiliyor.

Etkilenenler Kim

Saldırının doğrudan hedefi, ABD'nin 50 eyaletinde faaliyet gösteren ve sigortacılık sektörünü düzenleyen NAIC oldu. Saldırı, kurumun operasyonel süreçlerini de olumsuz etkiledi. NAIC'in açıklamasına göre, olay nedeniyle kredi derecelendirme kuruluşları geçici olarak veri akışını durdurdu ve kurumun yatırım derecelendirme çalışmaları bir süreliğine askıya alındı.

Dolaylı olarak ise bu saldırı, Oracle PeopleSoft yazılımını kullanan tüm kuruluşlar için bir uyarı niteliği taşıyor. ShinyHunters'ın aynı zafiyeti kullanarak 100'den fazla organizasyonu hedef alması, zafiyetin ne kadar geniş bir etki alanına sahip olduğunu gösteriyor. Özellikle eğitim sektöründeki kurumların bu kampanyanın ana hedeflerinden olduğu bildirildi.

Ne Yapabilirsin

NAIC, kişisel verilerin sızdırılmadığını belirtse de bu olay, hem kurumlar hem de bireyler için önemli dersler içeriyor.

  • Oracle PeopleSoft Kullanan Kurumlar: Bu saldırının en önemli dersi, kullanılan yazılımların güncel tutulmasıdır. Oracle'ın CVE-2026-35273 zafiyeti için yayınladığı güvenlik yamasını derhal uygulamak kritik önem taşıyor. Sistem yöneticileri, özellikle internete açık kurumsal sunuculardaki anormal aktiviteleri ve yetkisiz erişim denemelerini izlemek için log kayıtlarını düzenli olarak kontrol etmelidir.
  • Tüm Kuruluşlar İçin: Sıfırıncı gün saldırıları, en hazırlıklı kurumları bile zor durumda bırakabilir. Bu nedenle çok katmanlı bir güvenlik mimarisi (defense-in-depth) benimsemek, sızma girişimlerinin etkisini azaltabilir. Ayrıca, kritik sistemlere ait erişim bilgilerinin güvenli bir şekilde saklandığından emin olunmalıdır.
  • Bireyler İçin: Bu özel olayda kişisel veri sızıntısı raporlanmamış olsa da, bu tür haberler dijital kimliğimizin ne kadar hassas olduğunu hatırlatır. Farklı platformlarda aynı şifreyi kullanmaktan kaçınmak ve çok faktörlü kimlik doğrulamayı (MFA) aktif hale getirmek, genel siber güvenlik hijyeninin temel adımlarıdır.

Şirket Ne Diyor

NAIC, olaya ilişkin yaptığı açıklamada şeffaf bir duruş sergilemeye çalıştı. Kurum, saldırıyı 11 Haziran'da tespit ettiklerini ve yetkisiz bir üçüncü tarafın BT sistemlerinin bir bölümüne erişim sağladığını doğruladı. Yapılan kapsamlı soruşturma sonucunda, saldırganların yalnızca halka açık verilere, eski loglara ve yapılandırma dosyalarına erişebildiği sonucuna varıldığını belirtti.

Kurum, ShinyHunters'ın SERFF, OPTins ve SBS gibi kritik platformları ele geçirdiği yönündeki iddialarını net bir şekilde reddetti ve PII veya hassas finansal verilerin açığa çıktığına dair hiçbir kanıt olmadığını tekrar vurguladı. Açıklamada ayrıca, etkilenen tüm sistemlerin artık iyileştirildiği ve gelecekteki saldırıları önlemek için ek savunma mekanizmalarının devreye alındığı bilgisi paylaşıldı.

Kaynak

https://www.bleepingcomputer.com/news/security/naic-says-public-data-stolen-in-shinyhunters-peoplesoft-breach/

Bu içerik, Argus Flow uygulamamız aracılığıyla yapay zeka destekli olarak üretilmiştir. Argus Flow'u sürekli geliştirmek için çalışıyoruz; çeviri hatası, hatalı kaynak veya doğrulanmamış bilgi gibi herhangi bir sorunla karşılaşırsanız aşağıdaki buton aracılığıyla bize bildirebilirsiniz. Geri bildirimleriniz için teşekkür ederiz.

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı ABD Sigorta Düzenleyicisi Veri İhlalini Doğruladı Sonraki Yazı → AVG Mobil Güvenlik iOS İçin Tehditlere Karşı Yeni Kalkan

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.