CrowdStrike ve Google, açık kaynak yazılım geliştiricilerini hedef alan Glassworm adlı botneti çökertti. Siber suçlular, bu botnet aracılığıyla açık kaynak projelerine kötü amaçlı yazılım bulaştırarak, bu yazılımları kullanan geliştiricilere ve şirketlere sızmayı amaçlıyordu. Operasyon, iki şirketin güvenlik ekiplerinin ortak çalışmasıyla gerçekleştirildi.

Glassworm botneti, özellikle açık kaynak yazılım depolarını hedef alıyordu. Saldırganlar, popüler projelere arka kapı yerleştirerek, bu projeleri indiren geliştiricilerin sistemlerine erişim sağlıyordu. Bu yöntemle, hem bireysel geliştiriciler hem de kurumsal kullanıcılar tehlikeye atılıyordu.

CrowdStrike'ın tehdit istihbaratı, botnetin altyapısını tespit etti. Google'ın Threat Analysis Group (TAG) ekibiyle paylaşılan bilgiler doğrultusunda, botnetin komuta kontrol sunucuları devre dışı bırakıldı. Ayrıca, bulaşmış projeler temizlenerek kullanıcıların güvenliği sağlandı.

Saldırıların arkasındaki grup henüz kesin olarak tanımlanmış değil. Ancak uzmanlar, bu tür saldırıların yazılım tedarik zincirine yönelik tehditlerin arttığını gösterdiğini belirtiyor. Açık kaynak ekosisteminin güvenliği, son yıllarda siber suçluların öncelikli hedeflerinden biri haline geldi.

Google ve CrowdStrike, botnetin tamamen etkisiz hale getirildiğini ve kullanıcılar için riskin ortadan kalktığını duyurdu. Geliştiricilere, kullandıkları açık kaynak kütüphanelerini güncel tutmaları ve güvenilir kaynaklardan indirme yapmaları önerildi.

Operasyon kapsamında, botnetin kullandığı alan adları ve IP adresleri de bloke edildi. Bu sayede, benzer saldırıların tekrarlanmasının önüne geçilmesi hedefleniyor. CrowdStrike ve Google, tehdit istihbaratı paylaşımının önemine vurgu yaparak, benzer iş birliklerinin devam edeceğini belirtti.

Açık kaynak projelerine yönelik bu tür saldırılar, yazılım güvenliği konusunda farkındalığı artırdı. Geliştiricilerin, projelerine ekledikleri bağımlılıkları dikkatle incelemesi ve güvenlik açıklarını hızla kapatması gerekiyor. CrowdStrike ve Google'ın müdahalesi, siber güvenlik alanında iş birliğinin ne kadar kritik olduğunu bir kez daha gösterdi.

İngiltere vize başvuru sürecinde kullanılan üçüncü taraf bir web sitesi, binlerce başvuru sahibinin hassas kişisel verilerini internete sızdırdı. Söz konusu portal, başvuru sahiplerinin pasaport fotokopileri, özçekimleri ve konum bilgilerini korumasız bir şekilde depoluyordu. Güvenlik araştırmacıları tarafından tespit edilen açık, verilerin yetkisiz kişilerce erişilebilir olduğunu ortaya koydu.

Portal, İngiltere vize başvurularında kimlik doğrulama ve belge yükleme amacıyla kullanılıyordu. Başvuru sahipleri, pasaportlarının taranmış kopyalarını ve yüz tanıma için çektikleri özçekimleri bu siteye yüklüyordu. Ayrıca başvuru sırasında konum verileri de toplanıyordu. Araştırmacılar, bu verilerin şifrelenmeden ve herkese açık bir şekilde saklandığını belirledi.

Güvenlik açığını keşfeden araştırmacılar, durumu site yetkililerine bildirdi. Ancak beklenenin aksine, site yönetimi güvenlik açığını kapatmak yerine hukuki yollara başvurdu. Araştırmacılara avukatları aracılığıyla ihtar gönderen site, bulguların kamuoyuyla paylaşılmamasını talep etti. Bu durum, siber güvenlik camiasında tepkiyle karşılandı.

Sızdırılan veriler arasında pasaport numaraları, doğum tarihleri ve biyometrik fotoğraflar gibi son derece hassas bilgiler yer alıyor. Bu tür verilerin kötü niyetli kişilerin eline geçmesi durumunda kimlik hırsızlığı ve dolandırıcılık riski bulunuyor. Uzmanlar, etkilenen başvuru sahiplerinin derhal kimlik koruma önlemleri alması gerektiğini vurguluyor.

Olay, İngiltere vize sürecinde kullanılan dijital altyapının güvenlik zafiyetlerini bir kez daha gündeme getirdi. Üçüncü taraf hizmet sağlayıcıların veri koruma standartları sorgulanırken, yetkililerin bu tür platformları denetleme sorumluluğu tartışılıyor. İngiltere İçişleri Bakanlığı konuyla ilgili henüz resmi bir açıklama yapmadı.

Güvenlik araştırmacıları, benzer açıkların başka ülkelerin vize sistemlerinde de bulunabileceği uyarısında bulunuyor. Dijital dönüşümle birlikte artan çevrimiçi başvuru süreçlerinde, kişisel verilerin korunması kritik önem taşıyor. Uzmanlar, başvuru sahiplerinin yalnızca güvenilir ve denetlenmiş platformları kullanmasını öneriyor.

Portalın hangi tarihten beri faaliyette olduğu ve kaç başvuru sahibinin etkilendiği henüz netlik kazanmış değil. Araştırmacılar, açığın aylardır var olduğunu ve bu süre zarfında binlerce kişinin verisinin risk altında olduğunu tahmin ediyor. Olayla ilgili adli soruşturma başlatılıp başlatılmadığı ise bilinmiyor.

Bir zamanlar, kimliği belirsiz bir grup, ABD Ulusal Güvenlik Ajansı'nın (NSA) en güçlü siber saldırı araçlarını çaldı ve internete sızdırdı. Bu olay, siber güvenlik tarihinin en büyük sızıntılarından biri olarak kayıtlara geçti. Aradan yıllar geçmesine rağmen, bu grubun kimliği ve motivasyonu hâlâ tam olarak çözülebilmiş değil. Söz konusu sızıntı, sadece NSA için değil, tüm dijital ekosistem için derin sonuçlar doğurdu.

Sızdırılan araçlar arasında, EternalBlue gibi daha sonra WannaCry fidye yazılımı saldırısında kullanılan kritik bir güvenlik açığı da bulunuyordu. Bu araçlar, NSA'nın düşman ülkelerin ağlarına sızmak için geliştirdiği son derece karmaşık yazılımlardı. Shadow Brokers adıyla bilinen grup, bu araçları 2016 yılında yayınlamaya başladı ve ardından bir dizi sızıntı daha gerçekleştirdi. Grup, araçları satılığa çıkardığını duyurdu ancak alıcı bulup bulmadığı bilinmiyor.

Olayın en çarpıcı yanı, grubun kimliğine dair hiçbir somut ipucunun bulunamaması. Bazı uzmanlar, grubun Rusya veya Çin gibi devlet destekli aktörler olduğunu öne sürse de, bu iddiaları kanıtlayacak yeterli delil yok. Diğer bir teori ise, grubun NSA içinden bir kişi veya küçük bir ekip olduğu yönünde. Ancak bu teori de spekülasyondan öteye gidemedi. Shadow Brokers'ın iletişim kurmak için kullandığı yöntemler ve yayınladığı mesajlar, profesyonel bir operasyon izlenimi verse de, kimliklerini gizleme konusunda son derece başarılı oldular.

Bu sızıntı, şirketlerin siber güvenlik stratejilerini kökten değiştirmelerine neden oldu. Artık hiçbir sistemin tamamen güvende olmadığı gerçeği, kurumsal dünyada kabul gördü. Özellikle finans ve sağlık sektörü gibi kritik altyapılara sahip şirketler, bu tür sızıntıların yaratabileceği domino etkisine karşı daha hazırlıklı olmak zorunda kaldı. EternalBlue gibi araçların yaygınlaşması, şirketlerin güvenlik açıklarını kapatma hızını artırdı ve yama yönetimi süreçlerini daha sıkı hale getirdi.

Shadow Brokers'ın eylemleri, aynı zamanda devletlerin siber silah stoklama politikalarını da sorgulamaya açtı. NSA gibi kurumların, kullandıkları araçların güvenliğini sağlama sorumluluğu tartışma konusu oldu. Sızıntı sonrası, birçok ülke siber silahların kontrolü ve ifşası konusunda yeni düzenlemeler talep etti. Ancak bu alanda uluslararası bir mutabakata varılamadı.

Bugün, Shadow Brokers'ın kim olduğu hâlâ bir muamma. Grup, 2017'den sonra sessizliğe büründü ve herhangi bir yeni sızıntı yapmadı. Ancak bıraktıkları miras, siber güvenlik dünyasında derin izler bıraktı. Şirketler, bu olaydan çıkarılan derslerle siber risk yönetimini yeniden şekillendiriyor. Olayın çözülememiş olması, dijital tehditlerin ne kadar karmaşık ve öngörülemez olabileceğinin bir hatırlatıcısı olarak duruyor.

Güvenlik araştırmacıları, dünya genelinde milyonlarca yapay zeka aracını ve yazılımını etkileyen kritik bir güvenlik açığı konusunda uyarıda bulunuyor. Starlette adlı açık kaynak framework'ünde tespit edilen bu zafiyet, saldırganların sunuculara sızmasına ve hassas verilerle üçüncü taraf hesapların kimlik bilgilerini çalmasına imkan veriyor.

Geliştiricisi tarafından haftada 325 milyon indirme aldığı belirtilen Starlette, ASGI (asenkron sunucu ağ geçidi arayüzü) protokolünün bir uygulaması olarak çalışıyor. Bu protokol, çok sayıda isteğin aynı anda verimli bir şekilde işlenmesini sağlıyor. Starlette, FastAPI ve Python uygulamalarında hizmet oluşturmak için kullanılan diğer yaygın framework'lerin temelini oluşturuyor.

Açığın istismar edilmesinin oldukça kolay olduğu belirtilirken, milyonlarca sunucunun risk altında olduğu ifade ediliyor. ASGI ve dolayısıyla Starlette, MCP (model bağlam protokolü) çalıştıran sunuculara erişime sahip. MCP, büyük sağlayıcılardan gelen yapay zeka ajanlarının kullanıcı veritabanları, e-posta ve takvim hesapları gibi harici kaynaklara erişmesine olanak tanıyor.

MCP sunucuları, harici sistemlere bağlanmak için her biri için kimlik bilgileri depoluyor. Bu durum, söz konusu sunucuları saldırganlar için özellikle değerli bir hedef haline getiriyor. Güvenlik araştırmacısı, açığın kritik önemde olduğunu ve acilen güncelleme yapılması gerektiğini vurguluyor.

Binlerce açık kaynak projesi de Starlette'e bağımlı oldukları için bu güvenlik açığından etkileniyor. Geliştiricilerin, Starlette'in en son sürümüne güncelleme yapmaları ve sistemlerini korumak için gerekli önlemleri almaları öneriliyor. Açığın ayrıntıları ve yama bilgileri ilgili güvenlik bültenlerinde yer alıyor.