Akşam saatlerinde Twitter’da çok sayıda kişinin cep telefonunda HGS uygulamasından, yukarıda gördüğünüz push notification’un geldiği raporlanıyor. HGS kullanıcılarına “Eğer bu BTC adresine 25.000 dolar göndermezseniz tüm veriyi paylaşacağım” diyen bildirimler gitti.
İnternetten “HGS hacklendi mi?” diye arandığında HGS Müşteri Portalinde aşağıdaki bilgiler yer alsa da, bu sayfanın kendisi de şu anda çalışmıyor;
“10 Aralık 2024 itibarıyla, Türkiye’nin elektronik geçiş ücreti toplama sistemi olan Hızlı Geçiş Sistemi’nin (HGS) tehlikeye atıldığına veya hacklendiğine dair güvenilir bir rapor bulunmamaktadır. Resmi HGS Müşteri Hizmetleri web sitesi, kullanıcıların HGS hizmetleri sunduğunu iddia eden dolandırıcı web sitelerine karşı dikkatli olmalarını ve işlemler için yalnızca yetkili platformları kullanmalarını önermektedir.”
Bilişim sektöründekiler, HGS’nin kullanıcılarına bilgilendirmeler yapmak için kullandığı “push notification” uygulamasını sunan “One Signal” firmasının hacklendiği olduğu düşüncesindeler. Etrafta başkaca açıklama yapan da bulunmuyor.
Anadolu Sigorta Açıklama Yaptı
Dün de Anadolu Sigortasında benzer bir sorun çıkmıştı. Bugün firmadan aşağıdaki açıklama geldi :
“9 Aralık 2024, saat 23:20’de gerçekleşen, Sigortam Cepte uygulamamızın dış katmanında bulunan bildirim/mesaj servisine yetkisiz erişim olayıyla ilgili olarak şirketimizce konuya ilişkin hızlı ve kapsamlı bir inceleme yapılmıştır. Öncelikle, kullanıcılarımızın kişisel verilerinin tamamen güvende olduğunu ve herhangi bir veri sızıntısı yaşanmadığını paylaşmak isteriz.
Konuya ilişkin araştırmalarımız neticesinde, Sigortam Cepte uygulamamızın dış katmanında bulunan bildirim/mesaj servisine yetkisiz erişim tespit edilmiştir. Yetkisiz erişim, yalnızca bildirim/mesaj servisiyle sınırlı kalmış, şirketimizin veri tabanları ve güvenlik altyapısı bu durumdan etkilenmemiştir.
Aldığımız önlemler kapsamında, tedbir amaçlı olarak geçici süreyle işleme kapatılan mobil uygulamamız Sigortam Cepte gün içinde kullanıcılarımızın hizmetine açılacaktır.
Müşterilerimizin kişisel verilerini korumanın en büyük önceliğimiz ve sorumluluğumuz olduğunu kamuoyunun bilgisine sunarız. “
Gördüğünüz gibi, bu açıklamada da mesajlaşma sisteminde sorun olduğu raporlanıyor.
OneSignal Firmasının “Push Bildirimleri” Hacklenmiş Gözüküyor
Haberi yazdığımız saatte, OneSignal’in push bildirim platformunun hacklenmiş olduğuna dair kurumsal bir rapor bulunmuyor. Ancak, dünyanın farklı yerlerinden bireysel kullanıcılar, cep telefonlarındaki uygulamalar aracılığıyla kendilerine yetkisiz push bildirimleri gönderildiğini raporluyorlar.
Kodular Community isimli mobil uygulama geliştirici forumundaki bir geliştirici de, OneSignal REST API anahtarının ifşa edilmiş olabileceğinden şüphelendiğini raporladı. Dolayısıyla uygulama arayüzü (API) anahtarlarının veya kimlik bilgilerinin çalınmış olabileceği düşünülüyor.
Şirketin CEO’su George Deglin X üzerinden şu açıklamayı yaptı :
Ne Yapmak Lazım?
Push bildirimi alan uygulama kullanıcısı iseniz, gönderilen bildirimleri tıklamamanızı öneririz.
Ama OneSignal sayfasında, hesabı olan bir geliştiriciler için şunlar öneriliyor;
- Hesap Güvenliği: OneSignal hesabınız için benzersiz, güçlü parolalar kullanın ve yetkisiz erişimi önlemek için iki adımlı kimlik doğrulamayı etkinleştirin.
- API Anahtar Yönetimi: REST API anahtarlarınızın gizli tutulduğundan ve herkese açık depolar veya istemci tarafı kodunda ortaya çıkmadığından emin olun. API anahtarlarınızı düzenli olarak döndürün ve artık kullanılmayanları devre dışı bırakın.
- İzleme ve Uyarılar: Hesabınızı düzenli olarak şüpheli etkinliklere veya yetkisiz mesajlara karşı izleyin. OneSignal, anormallikleri belirlemeye yardımcı olabilecek bildirim raporlarını ve teslimat istatistiklerini görüntülemek için araçlar sağlar.
Kaynak : 