Son Dell veri ihlalinin arkasındaki tehdit oyuncusu, sahte bir şirket olarak eriştikleri bir ortak portal API'sını kullanarak 49 milyon müşteri kaydının bilgilerini kazıdıklarını ortaya koydu.
Dün, BleepingComputer, Dell'in müşterilere kişisel verilerinin bir veri ihlali ile çalındığını bildiren bildirimler göndermeye başladığını bildirdi.
Bu veri ihlali, garanti bilgileri, hizmet etiketleri, müşteri adları, yüklü konumlar, müşteri numaraları ve sipariş numaraları dahil olmak üzere müşteri sipariş verileri içeriyordu.
Menelik olarak bilinen bir tehdit oyuncusu, 28 Nisan'da ihlal edilen hack forumunda satışa sunuldu ve moderatörler yakında görevden alındı.
Menelik, bu sabah BleepingComputer'a, sipariş bilgilerini aramak için kullanılabilecek ortaklar, satıcılar ve perakendeciler için bir portal keşfettikten sonra verileri çalabildiklerini söyledi.
Menelik, sahte şirket adları altında birden fazla hesap kaydederek portala erişebileceğini ve doğrulanmadan iki gün içinde erişebileceğini söyledi.
"Ortak olarak kaydolmak çok kolaydır. Sadece bir başvuru formu dolduruyorsunuz," dedi Menelik BleepingComputer'a.
"Şirket detayları giriyorsunuz, bir ortak olmak istediğiniz için ve sonra sizi onaylıyorlar ve bu" yetkili "portala erişim sağlıyorlar. Kendi hesaplarımı bu şekilde oluşturdum. Tüm süreç 24-48 saat sürüyor."
Portala erişim kazandıklarında Menelik, BleepingComputer'a 7 haneli servis etiketleri oluşturan bir program oluşturduklarını ve geri dönen bilgileri kazımak için Mart ayından itibaren portal sayfasına gönderdiklerini söyledi.
Portalın herhangi bir oran sınırlaması içermediği için, tehdit oyuncusu, Dell denemeleri engellemeden üç hafta boyunca dakikada 5.000 talep üreterek 49 milyon müşteri kaydı bilgisini toplayabileceklerini iddia ediyor.
Menelik, çalınan müşteri kayıtlarının aşağıdaki donanım dökümünü içerdiğini söylüyor:
Tehdit oyuncusu, e -postayı BleepingComputer ile paylaşarak hatayı güvenlik ekibine bildirmek için 12 ve 14 Nisan'da Dell'e e -posta gönderdiklerini söyledi. Ancak, tehdit oyuncusu şirketle temasa geçmeden önce 49 milyon rekor topladı.
Tehdit oyuncusu, Dell'in e -postalara asla cevap vermediğini ve yaklaşık iki hafta sonrasına kadar hatayı düzeltmediğini, çalınan verilerin ilk kez ihlal forumları hack forumunda satışa sunulduğunu söyledi.
Dell, BleepingComputer'a tehdit oyuncunun e -postalarını aldıklarını doğruladı, ancak olayın aktif bir kolluk soruşturması haline geldiğini söyledikleri için başka soruları cevaplamayı reddetti.
Ancak şirket, tehdit oyuncusunun e -postasını almadan önce faaliyeti zaten tespit ettiklerini iddia ediyor.
"Bu tehdit oyuncusu bir suçludur ve kolluk kuvvetlerini bilgilendirdik." Dedi.
Diyerek şöyle devam etti: "Devam eden soruşturmamızın bütünlüğünü veya kolluk kuvvetleri tarafından yapılan herhangi bir soruşturmayı tehlikeye atabilecek herhangi bir bilgi açıklamıyoruz."
Diyerek şöyle devam etti: "Tehdit oyuncunun e-postasını almadan önce Dell, olayı zaten fark etti ve araştırıyordu, yanıt prosedürlerimizi uyguluyordu.
TechCrunch ilk olarak Menelik’in Dell müşteri verilerini kazımak için bu API’nın kullanımını bildirdi.
Erişim kolay API'ler, son yıllarda şirketler için büyük bir zayıflık haline geldi ve tehdit aktörleri onları hassas verileri kazıma ve diğer tehdit aktörlerine satmalarını istediler.
2021'de tehdit aktörleri, telefon numaralarını 500 milyondan fazla hesaba bağlamak için bir Facebook API hatasını kötüye kullandı. Bu veriler, bir hack forumunda neredeyse ücretsiz olarak sızdırıldı, sadece bir hesap gerektiriyor ve indirmek için 2 dolar ödüyor.
O yılın ilerleyen saatlerinde, Aralık ayında, tehdit aktörleri milyonlarca telefon numarasını ve e -posta adreslerini Twitter hesaplarına bağlamak için bir Twitter API hatasını kullandı ve daha sonra hack forumlarında satıldı.
Daha yakın zamanlarda, bir e -posta adresini bir kez daha bir hack forumunda satışa sunan 15 milyon hesaba bağlamak için geçen yıl bir Trello API kusuru kullanıldı. Veriler daha sonra paylaşıldı, ihlalde maruz kalanlara bildirimler yayınlamış mıydım.
Bu olayların tümü verilerin kazınmasını içerse de, API'lere erişim kolaylığı ve aynı ana bilgisayardan saniyede yapılabilecek istek sayısı için uygun oran sınırlama eksikliği nedeniyle izin verildi.
Dell veri ihlali konusunda uyarıyor, 49 milyon müşterinin etkilediği iddia edildi
AT&T şimdi veri ihlalinin 51 milyon müşteriyi etkilediğini söylüyor
Home Depot, üçüncü taraf verilerin ihlalini açıklayan çalışan bilgilerini onaylar
AT&T, hacker forumunda sızan 73 milyon müşteri için verileri onaylıyor
AT&T, 70 milyon kişinin sızdırılmış verilerinin sistemlerinden olmadığını söylüyor
Kaynak: Bleeping Computer