Tek başına bir hacker, dünya genelinde yaklaşık 50 büyük şirketin özel dosyalarına sızmayı başardı. Bu şirketler arasında Pickett, Sekisui House, IFLUSAC, Iberia Airlines, K3G Solutions, CRRC MA, GreenBills ve CiberC yer alıyor. Bu durum, İsrailli siber güvenlik firması Hudson Rock tarafından Infostealers.com için yapılan son araştırmada ortaya çıktı.

Araştırmacılar, Zestix ve Sentap takma adlarıyla faaliyet gösteren bir İran vatandaşı olduğu düşünülen saldırganı tespit etti. Bu kişi, çalınan büyük miktarda kurumsal veriyi en yüksek teklifi verene satmak için karanlık web forumlarında açık artırmaya sunuyor.

Büyük organizasyonların zor hedefler olması beklenirken, bu hacker için işin zor olmadığını belirtmek gerekir. Ancak araştırmacılar, hackerın sadece çalınan şifreleri kullanarak, temel güvenlik doğrulaması olmayan hesaplara giriş yaptığını kaydetti.

Infostealers Kapıyı Nasıl Açtı?

Hacker, şirketlere doğrudan sızmadı. Bunun yerine, RedLine, Lumma ve Vidar gibi Infostealers kullandı. Bu virüsler, genellikle kurbanın sahte bir dosya veya crackli bir oyun indirmesi sonrası bilgisayara sızar ve tarayıcıda kaydedilen her şifreyi gizlice çalar.

Zestix bu şifrelere sahip olduktan sonra, ShareFile, Nextcloud ve OwnCloud gibi şirket dosya paylaşım sitelerine giriş yaptı. Bunun tek nedeni, bu 50 şirketin Çok Faktörlü Kimlik Doğrulama (MFA) özelliğini etkinleştirmemiş olmalarıydı.

Maida Health Nextcloud örneğine erişim (Kaynak: Infostealers.com)

MFA, bildiğimiz gibi, bir site şifrenizi yazdıktan sonra telefonunuzdan bir kod istemesi gibi ekstra bir adımdır. Bu ikinci adım gerekli olmadığından, çalınan şifre hackerın içeri girmesi için yeterli oldu.

Kimler Etkilendi?

Çalınan veriler, özel tıbbi dosyalardan askeri projelere kadar her şeyi içeriyor. Örneğin, Iberia Airlines 77 GB veri kaybetti, bu veriler arasında uçaklarının güvenlik kılavuzları da bulunuyor. ABD merkezli Pickett & Associates adlı firma ise 139 GB veri kaybetti; bu veriler arasında enerji hatları ve altyapı istasyonlarının detaylı haritaları yer alıyordu.

Kasım 2025'te Iberia Airlines, Everest ransomware tarafından çalınan ve daha sonra sızdırılan 596GB'lık iç ve müşteri verileriyle başka bir veri ihlaline de karışmıştı.

Saldırının kapsamı, şirketin raporuna göre gerçekten küreseldi. Türkiye'de, Intecro Robotics'in askeri drone ve savaş uçaklarına ait tasarımları satışa çıkarıldı. Brezilya'da, Maida Health, askeri polise ait 2.3 terabaytlık tıbbi kayıt kaybetti. Hatta kamu ulaşımı da etkilendi; LA Metro tarafından kullanılan tren frenleri ve sinyalizasyon planları, CRRC MA adlı bir şirket aracılığıyla sızdırıldı.

Zestix'in Rusça siber suç forumu Exploit.in'deki profili ve paylaşımı (Kaynak: InfoStealers.com)

Temel Güvenlik Dersi

Bu saldırılarda kullanılan bazı çalınan şifreler yıllar öncesine dayanıyor. Eğer bu şirketler, bir şifre değişikliği zorunluluğu getirseydi veya basitçe giriş için bir telefon kodu talep etseydi, bu felaketin tamamı önlenebilirdi.

Hudson Rock, Samsung, Walmart ve Deloitte gibi diğer devlerin çalışanlarına ait kimlik bilgileri de bu hacker günlüklerinde dolaştığına dikkat çekiyor. Bu da onların da risk altında olabileceği anlamına geliyor. Bu, hepimiz için bir hatırlatmadır: sadece bir şifre, artık bilgilerinizi güvende tutmak için yeterli değildir.