Türkiye’nin önde gelen iki mobil uygulaması, Anadolu Sigorta’nın “Sigortam Cepte” ve PTT’nin “HGS” uygulamaları, 9-10 Aralık tarihlerinde siber saldırıların hedefi oldu. Her iki uygulamanın kullanıcılarına küfür içerikli ve tehdit dolu bildirimler gönderildi. Saldırganlar, kullanıcıların verilerini ifşa etme tehdidiyle Bitcoin talep etti. Ancak yapılan incelemeler, herhangi bir kişisel veri sızıntısı olmadığını ortaya koydu.
Saldırının merkezinde, bu uygulamalara bildirim göndermek için kullanılan OneSignal adlı hizmetin API anahtarlarının siber saldırganlar tarafından ele geçirilmesi yatıyor. Siber güvenlik uzmanları, uygulamaların kodlarının içine sabitlenmiş ve yeterince korunmamış bu anahtarların, saldırganlar tarafından tersine kodlama yöntemiyle kolayca bulunabildiğini belirtti. Bu açık, saldırganların yetkisiz biçimde uygulamalardan bildirim göndermesine olanak sağladı.
Anadolu Sigorta ve PTT, her iki olayın ardından yaptıkları açıklamalarda, herhangi bir veri sızıntısı yaşanmadığını duyurdu. Anadolu Sigorta, bildirimin yetkisiz erişimle gönderildiğini ve uygulamanın kısa süreliğine kapatılarak güvenlik kontrolleri sonrası yeniden kullanıma açıldığını belirtti. PTT ise kullanıcılarına gönderilen tehdit içerikli bildirimlerin şirketle ilgisi olmadığını açıkladı.
Bilgi Teknolojileri ve İletişim Kurumu'na (BTK) bağlı Ulusal Siber Olaylara Müdahale Merkezi (USOM) ise yaptığı açıklamada, sorunun OneSignal hizmetine ait API anahtarlarının siber saldırganların eline geçmesinden kaynaklandığını doğruladı. USOM, OneSignal kullanan diğer kurumları da güvenlik açıklarını kapatmaları için uyardı.
BBC Türkçe'de yer alan habere göre, siber güvenlik uzmanları, bu saldırıların yalnızca bildirim gönderme hizmetine erişim sağladığını ve kullanıcıların kişisel verilerinin tehlikede olmadığını belirtti. ThreatMon Baş Teknoloji Sorumlusu Gökhan Yüceler, "OneSignal üzerinde kişisel veri bulunmuyor. Veriler kurumların veri tabanlarında kalıyor," dedi. Kredi kartı, araç plakası veya sigorta bilgileri gibi hassas bilgilere erişim sağlanmadığı açıklandı.
Siber güvenlik uzmanı Ayşe Aktağ, API anahtarlarının yazılım dosyalarının içinde şifrelenmeden saklanmasının ciddi bir güvenlik zafiyeti olduğunu ve bunun, yazılım ekiplerinin temel bir hatası olduğunu ifade etti.
Kıdemli Siber Güvenlik Uzmanı Onur Oktay, bu tür saldırıların ardından sektör genelinde yoğun bir güvenlik taraması başladığını, birçok kurumun kendi sistemlerini kontrol altına aldığını belirtti.
Boğaziçi Üniversitesi’nden Prof. Dr. Tuna Tuğcu, kullanıcıların bu tür tehditlere karşı panik yapmaması gerektiğini vurguladı ve şantaj taleplerine itibar edilmemesini önerdi.
Uzmanlar, güvenlik açıklarının tekrarını önlemek için yazılım ekiplerine ciddi sorumluluklar düştüğünü belirtti. API anahtarlarının şifrelenerek saklanması veya yalnızca sunucu tarafında tutulması gerektiğine dikkat çekiliyor. Kullanıcılar ise bu tür durumlarda:
Uygulama parolalarını değiştirmeli,
Uygulamaları ve cihazlarını güncel tutmalı,
Tehdit içerikli bildirimlere itibar etmemeli.
