Hacklenen Chrome Uzantısı Kullanıcılara Zarar Verdi
Veri kaybı önleme alanında faaliyet gösteren Cyberhaven, siber saldırganların Chrome uzantısına zararlı bir güncelleme yayınladığını ve bunun müşterilerin şifrelerini ve oturum belirteçlerini çalabildiğini bildirdi.
Saldırı Detayları
Cyberhaven, saldırıyı TechCrunch ile yaptığı bir görüşmede doğruladı ancak olayın detayları hakkında yorum yapmaktan kaçındı.
Şirket, müşterilerine gönderdiği bir e-postada, saldırganların 25 Aralık sabahı bir şirket hesabını ele geçirerek zararlı bir güncelleme yayınladığını bildirdi. E-postada, “Kompromize olmuş tarayıcı uzantısını kullanan müşteriler için, duyarlı bilgilerin çalınması mümkündür” ifadesi kullanıldı.
Cyberhaven sözcüsü Cameron Coles, e-postanın içeriği hakkında yorum yapmadı ancak doğruluğunu yalanlamadı. Şirket, 25 Aralık öğleden sonra durumu tespit ettiğini ve tehdit oluşturan uzantının (sürüm 24.10.4) Chrome Web Mağazası’ndan kaldırıldığını açıkladı. Bunun ardından yeni bir meşru sürüm (24.10.5) hızlıca piyasaya sürüldü.
Müşterilere Tavsiyeler
Cyberhaven, müşterilerinin tüm şifreleri ve metin tabanlı kimlik bilgileri (örneğin, API anahtarları) için “iptal” etme ve “yenileme” tavsiyesinde bulundu. Ayrıca, kullanıcıların kendi günlüklerini kötü niyetli aktiviteler açısından gözden geçirmeleri gerektiğini belirtti.
Oturum belirteçleri ve çerezlerin çalınması, kullanıcıların hesabına şifresiz veya iki faktörlü kod olmadan giriş yapılmasını sağlar. Bu durum, siber saldırganların güvenlik önlemlerini aşmasına neden olabilir. Ancak, e-posta, kullanıcıların Chrome tarayıcısındaki diğer hesaplar için de kimlik bilgilerini değiştirip değiştirmeleri gerektiğini açıklamıyordu.
Kompromize edilen hesap, “Google Chrome Store için tek yönetici hesabı” olarak belirtiliyor. Cyberhaven, şirket hesabının nasıl ele geçirildiği veya hangi güvenlik önlemlerinin uygulandığı konusunda bilgi vermedi ancak güvenlik uygulamalarını kapsamlı bir şekilde gözden geçireceklerini belirtti.
İlgili Güvenlik Önlemleri ve Yanıt
Cyberhaven, olay sonrası Mandiant adında bir olay yanıt firması ile çalışmaya başladı ve federal kolluk kuvvetleri ile aktif işbirliği yapıyor. Cyberhaven ayrıca, bu saldırının geliştiricileri hedef alan daha geniş bir kampanyanın parçası olduğuna dair kamuya açık raporların bulunduğunu da belirtti. Ancak, şu aşamada bu kampanyanın arkasında kimin olduğu ve diğer etkilenen firmalar henüz doğrulanmadı.
Siber güvenlik uzmanı Jaime Blasco, birçok diğer Chrome uzantısının da bu kampanyanın bir parçası olarak saldırıya uğradığını söyledi. Olaylar devam ederken, uzmanların araştırması süregeldiği biliniyor.
