Japon telekomünikasyon devi KDDI, geçtiğimiz günlerde yaptığı açıklamayla ülke çapında beş internet servis sağlayıcısı (ISS) tarafından kullanılan bir e-posta platformuna yapılan siber saldırıda milyonlarca kullanıcının e-posta adresi ve şifresinin çalındığını duyurdu. Şirket, saldırıyı 17 Haziran'da tespit ettiğini ve saldırganların erişimini engellediğini belirtti. Olaydan etkilenen ISS'ler arasında STNet, JCOM, Chubu Telecommunications C, NIFTY Corporation ve BIGLOBE bulunuyor. KDDI, 45.000 çalışanı ve 32,4 milyar dolar yıllık geliriyle Japonya'nın en büyük ikinci mobil telekomünikasyon sağlayıcısı konumunda.
KDDI'nin açıklamasına göre, ihlal sonucunda toplam 14,22 milyon mevcut ve eski müşteri ile pasif hesaplara ait e-posta adresleri ve şifreler tehlikeye girmiş olabilir. Şirket, şifrelerin bir kısmının hash'lenmiş ve/veya şifrelenmiş formda saklandığını, bu nedenle hesap ele geçirme amaçlı kullanılmasının daha zor olduğunu ancak kaç hesabın şifresinin düz metin olarak saklandığını veya hangi şifreleme yönteminin kullanıldığını belirtmedi. Bu durum, kullanıcıların güvenliği konusunda endişeleri artırıyor.
KDDI, 6 Temmuz tarihli güncellemesinde saldırganların platforma 16 Mayıs'ta, üçüncü taraf bir yazılımdaki sıfırıncı gün açığını kullanarak sızdığını açıkladı. Şirket, 'Yaptığımız soruşturma sonucunda, 17 Haziran 2026'daki tespit tarihi itibarıyla bu açığın yazılım satıcısı tarafından bilinmediğini tespit ettik. Yazılım satıcısı, bu açığı kamu yetkililerine bildirdi ve bilgiyi ifşa etmek için çalışıyor' ifadelerini kullandı. Sıfırıncı gün açıklarının, yazılım geliştiricisinin henüz haberdar olmadığı ve yama yayınlamadığı güvenlik zafiyetleri olduğu düşünüldüğünde, bu saldırı oldukça ciddi bir tehdit oluşturuyor.
İhlalin boyutu oldukça geniş: KDDI, 12.233.087 kişinin e-posta adresinin ve 7.616.173 kişinin şifresinin ele geçirildiğini doğruladı. Şirket, etkilenen hesapların şifrelerini değiştirmek için çalışmalara başladığını ve düzenli olarak e-posta hizmetini kullanan müşterilerin çoğunun şifrelerini zaten değiştirdiğini belirtti. Ayrıca, e-posta hizmetini sık kullanmayan müşteriler için ISS sağlayıcılarının bir ila iki gün içinde zorunlu şifre değişikliği yapması için çalıştıklarını ifade etti.
Teknik Analiz
Saldırı sonrası KDDI, gelecekteki saldırı girişimlerini tespit etmek amacıyla Endpoint Detection and Response (EDR) yazılımı devreye aldı. 23 Haziran'da yapılan adli bilişim incelemesi, kullanılan açığın giderildiğini ve sistemlerde başka bir güvenlik sorunu bulunmadığını doğruladı. KDDI ayrıca, ihlali keşfettikten sonra Japonya Kişisel Bilgi Koruma Komisyonu ve İçişleri ve Haberleşme Bakanlığı'nı bilgilendirdi. Şu anda etkilenen ISS'lerle birlikte, bu maruziyetten kaynaklanan riskleri azaltmak için güvenlik önlemleri uygulamaya çalışıyor.
Bu olay, büyük ölçekli veri ihlallerinin hem şirketler hem de kullanıcılar için ne kadar yıkıcı olabileceğini bir kez daha gösteriyor. Kullanıcıların, özellikle e-posta hesapları için güçlü ve benzersiz şifreler kullanmaları, iki faktörlü kimlik doğrulamayı etkinleştirmeleri ve şifre yöneticisi gibi araçlarla hesaplarını korumaları büyük önem taşıyor. KDDI'nin bu ihlali nasıl yönettiği ve gelecekte benzer olayları önlemek için alacağı önlemler, siber güvenlik topluluğu tarafından yakından takip edilecek.
Kaynak: bleepingcomputer.com