Havacılık endüstrisi için endişe verici bir gelişme olarak, Korean Air, yaklaşık 30,000 mevcut ve eski çalışanın kişisel bilgilerinin çalındığını doğruladı. Bu haber, 29 Aralık 2025 tarihinde paylaşıldı ve bu ayın başlarında Güney Kore’nin Asiana Airlines'ında yaşanan benzer bir güvenlik sorununun ardından geldi; burada 10,000 çalışan kaydı tehlikeye girmişti.

İhlal nasıl gerçekleşti?

Korea JoongAng Daily raporuna göre, veriler doğrudan Korean Air’in ana sistemlerinden alınmadı. Bunun yerine, hackerlar KC&D Service (Korean Air Catering & Duty-Free) adlı bir şirketi hedef aldı.

Bu şirket, 2020 yılında Hahn & Company adlı özel bir yatırım grubuna satılmadan önce Korean Air’ın bir bölümüydü. Satışa rağmen, KC&D hala havayolu için uçuş yemekleri ve gümrüksüz ürünler sağlamaktadır ve Korean Air, bu işletmede %20 hisseye sahiptir.

KC&D Service (KC&D)*, 2020 yılında şirketimizden ayrılan ve ayrı bir varlık olarak faaliyet gösteren bir uçuş yemekleri ve uçuş satış şirketidir. Yakın zamanda bir dış hacker grubunun saldırısına uğradı. Bu süreçte, o şirketin ERP sunucusunda saklanan çalışanlarımızın kişisel bilgilerinin (isimler, hesap numaraları) sızdığı anlaşılmaktadır, bildiride belirtilmiştir.

Korean Air'den resmi ihlal bildirimi (kaynak: Korea JoongAng Daily)

Saldırganların, KC&D’nin ERP sunucusuna (şirket kaynaklarını yönetmek için kullanılan ana sistem) girmeyi başardığı bildirilmektedir. Bunun, popüler bir iş yazılımı olan Oracle E-Business Suite (EBS) içindeki bir güvenlik açığından yararlanarak gerçekleştiği düşünülmektedir.

Bu spesifik güvenlik açığı, CVE-2025-61882 olarak izlenmektedir ve hackerların güvenlik kontrollerini atlayarak sunucuya kullanıcı adı veya şifre olmadan erişim sağlamasına olanak tanımış olabilir. Aynı güvenlik açığı daha önce Envoy Air'ın ihlaline neden olmuştur; bu, American Airlines altında faaliyet gösteren en büyük taşıyıcıdır.

Sorumlu Kim?

Bu şüphe, ünlü dijital zorba grup Cl0p'un bu veri ihlali için sorumluluğu üstlendiği iddialarından kaynaklanmaktadır. Hackread.com’un son raporları, yüksek değerli kuruluşları hedef alan Rusça konuşan Cl0p çetesinin, bu Oracle yazılım açığını Ağustos ayı başından beri istismar ettiğini ortaya koymaktadır.

Korean Air, Cl0p'un dünya çapında birçok kuruluşa hedef alarak kullandığı aynı yöntemle yalnızca bir kurbanıdır; bu kuruluşlar arasında Envoy Air (American Airlines’ın bir yan kuruluşu), Harvard Üniversitesi, Pennsylvania Üniversitesi, The Washington Post ve Logitech bulunmaktadır.

Bu durumda, grup, etkilenen şirketlerin fidye ödemeyi reddetmesi nedeniyle karanlık ağda neredeyse 500 GB çalınan dosyayı paylaşmaya başladı.

Cl0p fidye yazılımı, Korean Air verilerinin YAKLAŞIK 456 GB'ını sızdırdı (Görsel kaynağı: Hackread.com)

Hangi bilgiler alındı?

Çalınan verilerin, şirketin kaynak planlama sisteminde saklanan çalışan isimleri ve banka hesap numaraları gibi çok hassas ayrıntıları içerdiği bildirilmektedir. Bu, personel için büyük bir endişe kaynağı olsa da, havayolu, bu spesifik olayda müşteri verilerinin, uçuş rezervasyonları veya kredi kartı bilgileri gibi, etkilenmediğini kamuoyuna hızlı bir şekilde bildirmiştir.

Korean Air’in başkan yardımcısı Woo Kee-hong, ekibine şirketin konuyu çok ciddiye aldığını açıklayan kişisel bir mesaj gönderdi.

Korean Air, bu durumu çok ciddiye alıyor, özellikle de çalışan verilerini içerdiği için; bu veriler, satılan bir üçüncü taraf tedarikçiden kaynaklansa bile. Şu anda ihlalin tam kapsamını belirlemeye ve kimlerin etkilendiğine odaklanıyoruz.

Havayolu, acil güvenlik güncellemelerini tamamladı ve daha fazla verinin sızmasını önlemek için KC&D ile dijital bağlantıları kesti. Ayrıca durumu Kore İnternet ve Güvenlik Ajansı'na (KISA) bildirdi ve çalışanları, takip dolandırıcılığına neden olabilecek şüpheli metin mesajları veya e-postalara karşı son derece dikkatli olmaları konusunda uyardı.

Güney Kore ve Son Veri İhlalleri

Güney Kore, büyük ölçekli veri ihlalleri ve siber saldırıların merkezi olmuştur. Aralık 2025’in başlarında, Amazon’a alternatif olarak hizmet veren ülkenin alışveriş devi Coupang, bir veri ihlali yaşadı ve 33.7 milyon kullanıcısının verileri çalındı. Günler sonra, şirketin ofislerine baskın düzenlendi ve CEO’su Park Dae-jun istifa etmek zorunda kaldı.

Mayıs 2025’te, Güney Kore’nin telekomünikasyon devi SK Telecom bir kötü amaçlı yazılım saldırısını açıkladı ve bu saldırı neredeyse iki yıl boyunca gizli kalmıştı; bu durum 26.69 milyon IMSI biriminin ve 9.82 GB USIM verisinin sızmasına yol açtı.