2018 yılından bu yana, VICE Motherboard ve şimdi de TechCrunch’da çalışırken, yıl sonunda diğer yayınlar tarafından rapor edilen en iyi siber güvenlik hikayelerini içeren bir liste yayınlıyorum. Siber güvenlik, gözetim ve gizlilik gibi konular bir tek yayının etkili bir şekilde kapsayamayacağı kadar geniş. Gazetecilik, tanım gereği rekabetçi olmanın yanı sıra son derece işbirliği içinde geçirilen bir alandır. Bu nedenle, bazen okuyucularımızı başka yayınlara yönlendirmek ve karmaşık konular hakkında daha fazla bilgi edinmeleri için daha iyi bir fırsat sunmak mantıklı olabilir.
Şimdi hiç vakit kaybetmeden, bu yılki favori siber güvenlik hikayelerimizi paylaşalım.— Lorenzo Franceschi-Bicchierai.
AT&T, bir hacker’a 370.000 dolar ödeyerek şirketin neredeyse tüm telefon kayıtlarını silmesini sağladı
Bu yıl, siber güvenlik tarihinin en büyük toplu hack olaylarından biri gerçekleşti. Hackerlar, dünyanın en büyük teknoloji ve telekom şirketlerinden bazıları tarafından kullanılan Snowflake adlı bulut bilişim şirketine ait yüzlerce güvenliksiz bulut depolama hesabını hedef aldı. Hackerlar, bu büyük veri yığınlarını fidye için ele geçirdi. AT&T, bu siber saldırıda “n almost all” 110 milyon müşterisinin çağrı ve SMS kayıtlarını kaybettiğini doğruladı.
AT&T, ihlali kamuoyuna duyurduklarından günler sonra, bağımsız güvenlik muhabiri Kim Zetter, AT&T’nin bir hacker’a 370.000 dolar ödeyerek büyük bir telefon kaydı yığınını silmesi için anlaşma yaptığını ortaya çıkardı. Zetter’ın haberi, ihlallerin arkasında kimlerin olduğunu ve daha sonra kimler olduğunu bulmada önemli bir parçayı gün yüzüne çıkardı. — Zack Whittaker.
Otomobil üreticileri, tüketicilerin sürüş alışkanlıklarını, sigorta primlerini yükselten şirketlerle paylaştı
Kashmir Hill’ın The New York Times‘daki son araştırması, otomobil üreticilerinin tüketicilerin sürüş davranışını veri brokerleri ve sigorta şirketleriyle paylaştığını ortaya koydu. Bu şirketler, bu verileri müşterilerinin primlerini artırmak amacıyla kullanıyor. GM araç sahipleri, Smart Driver özelliklerine kaydolduklarında genellikle üçüncü taraflarla sürüş alışkanlıklarını paylaşacaklarından habersizdir. Bu hikaye, kongre soruşturmasına yol açtı ve otomobil üreticilerinin tüketicilerin verilerini bazen yalnızca birkaç kuruşa sattığını gözler önüne serdi. — Zack Whittaker.
CIA, İslamcı radikalleri izlemek için bir ajanını derin inceleme altında gönderdi; operasyon ona her şeyi kaybettirdi
Bu gerçekten olağanüstü bir hikaye. Eğer bu hikaye bir film olsaydı — aslında olmalı — hala şok edici olurdu. Ancak bunun gerçek hayatta yaşanmış olması daha da hafif bir durum. Zach Dorfman’ın burada yaptığı muazzam bir raporlamaydı. İstihbarat operasyonları hakkında yazmak kolay değil; tanım gereği, bunların sonsuza dek gizli kalması gerekmektedir. Bu, istihbarat toplumu için mutluluk verici bir hikaye değil. Hikayeyi hiç spoile etmek istemem, buna gerçekten göz atmalısınız. — Lorenzo Franceschi-Bicchierai.
Kripto paranın mirası nihayet netleşti, Charlie Warzel’e göre
Bu tamamen bir siber güvenlik hikayesi olmasa da, bazı açılardan kripto her zaman hack kültürünün bir parçası olmuştur. Libertaryan bir hayalden doğan kripto paranın ve tüm yan ürünlerinin, Satoshi Nakamoto’nun 2008 yılında Bitcoin’in temel kağıdında hayal ettiğinden çok farklı bir anlatıma sahip olduğu son birkaç yıldır oldukça belirgin hale gelmiştir. Şimdi, kripto, sağcıların güçlerini kullanması için bir araç haline gelmiştir, Charlie Warzel de bu durumu çok iyi açıkladığı bir yazıda özetlemektedir. — Lorenzo Franceschi-Bicchierai.
Hackerlar, Cencora’nın veri ihlali için 75 milyon dolarlık rekor fidye ödemesi elde etti
Bloomberg’in Katrina Manson’ın elde ettiği bilgi, hiç kimsenin yakalayamadığı bir hikaye oldu: ilaç dağıtım şirketi Cencora, bir fidye çetesi ile 75 milyon dolarlık fidye ödemesi yaptı. Bu, milyonlarca insanın kişisel ve tıbbi verilerinin ifşa edilmesini önlemek için yapıldı. Cencora, Şubat ayında saldırıya uğramıştı ancak kaç kişinin verilerinin çalındığını açıklamayı sürekli olarak reddetti; kamu belgeleri 1.4 milyon kişinin etkilendiğini göstermesine rağmen. TechCrunch, bu olasılığın peşine düşmüştü ve Manson, bitcoin işlemlerinin detaylarını ortaya çıkararak fidye ödemelerini doğruladı. — Zack Whittaker.
Ransomware çetelerinin acımasız saldırıları küçük şirketleri nasıl zayıflatıyor
Yıllardır fidye yazılımlarını takip ediyorum ve bu veri hırsızlığı saldırılarının arkasındaki hackerlar genellikle konuşmaya istekli olsa da, bu saldırıların mağdurları alışılmışın dışında açılmaya pek hevesli değil. Bloomberg’in Ryan Gallagher, Birleşik Krallık merkezli Knights of Old teslimat şirketini ransomware saldırısına karşı açık bir şekilde anlatmaya ikna etti. Bu saldırı, şirketin 158 yıl sonra kapanmasına neden oldu. Paul Abbott, Knights’ın ortak sahibi, saldırının neden olduğu yıkımı okuyuculara samimi bir şekilde açıklayarak, şirketin kapanmasına yol açan süreçleri tüm detaylarıyla aktardı. — Carly Page.
ABD’nin, doğum kontrol kliniklerinde telefon takibine imkan tanıyan aracı satın aldığına dair bilgiler
404 Media bu yılın başından itibaren sıkı bir performans sergileyip birçok harika hikaye çıkardı. Fakat bu hikaye özellikle dikkat çekiciydi. Joseph Cox ve diğer gazeteciler aynı veri setini aldılar ve akıllıca bir şekilde, hikayesinin ana odak noktasını bir konu üzerine yoğunlaştırdı: Cep telefonlarının konum verisinin, kişilerin doğum kontrol kliniklerini ziyaret ettiklerini belirlemede nasıl kullanılabileceği. Donald Trump’ın yeniden Beyaz Saray’a dönmesi ve Cumhuriyetçi Parti’nin tüm hükûmeti kontrol etmesiyle, bu tür bir gözetimin son derece tehlikeli hale gelmesi bekleniyor. — Lorenzo Franceschi-Bicchierai.
ZachXBT ile tanışın, milyarlarca dolarlık kripto dolandırıcılığı ve hırsızlığı takip eden maskeli vigilante
Bir süredir kripto hack’lerini ve soygunlarını takip ediyorum. Bu dünya, dolandırıcılar, hırsızlar ve azimli araştırmacılarla dolu. Bu yıl, ZachXBT takma adıyla bilinen biri en ilginç karakterlerden biri oldu. Yıllardır, en karmaşık kripto sırlarını, hack’leri, soygunları ve para aklama operasyonlarını çözümlemektedir. Bu yıl Andy Greenberg Wired’da ZachXBT’yi tanıtan harika bir yazı kaleme aldı. Yazar, dedektifin gerçek kimliğini açıklayamamış olsa da, hikaye, araştırmacının motivasyonları ve çalışma tarzını canlı bir şekilde resmetti. — Lorenzo Franceschi-Bicchierai.
Bir güvenlik duvarı satışçısının beş yıl süren savaş hikayesi Çinli hackerlar ile
Wired’dan Andy Greenberg, başka bir büyük Çin destekli hack kampanyasında harika bir scoop yaptı. Çin hükümetinin desteklediği hacker grupları tarafından kullanılmak üzere Sophos güvenlik duvarlarındaki açıkları araştıran Chengdu merkezli bir siber güvenlik firması ve UETC (Sichuan Silence ve University of Electronic Science and Technology of China) yetkilileri, beş yıl süren kampanyalarının sonucunda dünya genelinde 80.000’den fazla güvenlik duvarı cihazının hacklenmesine neden oldu. Aynı zamanda, bu cihazlar ABD hükümeti dahil birçok kuruluş tarafından kullanılıyordu. Greenberg’in raporundan sonra, ABD hükümeti, bu Çinli siber güvenlik şirketine ve bir çalışanına karşı yaptırım uyguladı. — Carly Page.
WSJ, ABD telefon ve internet devlerini hedef alan büyük bir Çin bağlantılı hack olayını açığa çıkardı
Salt Typhoon hack’ı, sadece 2024’ün en büyük siber güvenlik hikayelerinden biri değil, aynı zamanda tarihin en büyük hack olaylarından biri olarak kaydedilecektir. Wall Street Journal, Ekim ayında güçlü bir raporla, Çin hükümetine destek veren hacker grubunun, ABD telekom sektöründe bilgilere erişmek amacıyla birçok şirketin ağlarına sızdığını açıkladı. Bu, hükümetin mahkeme kararıyla verilen ağ dinleme talepleri için kullanılan sistemlere erişim anlamına geliyordu. WSJ’nin harika raporu birkaç ay süren takipleri tetikledi ve hükümet, Amerikalılara iletişimlerinin kesilmemesi için şifreli mesajlaşma uygulamaları kullanmalarını tavsiye etti. — Carly Page.
Yalan kimliklerin üretildiği yeraltı sitesi
Yıllardır bankalar ve teknoloji şirketleri, sonunda karşılaştıkları en büyük zorluk olan KYC (Müşterinizi Tanıyın) çerçevesini uyguluyor. KYC, müşterinin kim olduğunu doğrulamak için sürücü belgesi gibi kimlik belgelerini incelemeyi içeriyor. Ancak sahte kimlikler ve sahtekarlıklar kaçınılmaz; generatif yapay zeka modelleri bu KYC kontrollerini tamamen işe yaramaz hale getiriyor. 404 Media, yeni ortaya çıkan yeraltı sitesini keşfetti ve bu site üzerinden “sinir ağları” yardımıyla nasıl hızla sahte kimlikler üretildiğini gösterdi. Bu tür kimlikler, banka dolandırıcılığı ve suçlu para aklama için kullanabiliyor. Site, 404 Media’nın raporundan sonra kapandı. — Zack Whittaker.