Fortinet, Palo Alto ve CrowdStrike gibi devlerin ardından, dünya genelinde en büyük siber güvenlik şirketlerinden biridir ve 60 milyar ABD doları değerlemeye sahiptir. Kaliforniya merkezli firma, dünya çapında birçok kuruluş ve ajansa, özellikle de Avustralya gibi ülkelerde, güvenlik çözümleri sunmasıyla tanınmaktadır. Fortinet, uç nokta güvenliği, güvenlik duvarları, ağ güvenliği gibi hizmetleriyle siber tehditlere karşı güçlü bir savunma sağlamaktadır. Ancak yakın zamanda yaşanan bir siber ihlal, firmanın üçüncü taraf bulut tabanlı bir dosya depolama hizmetinde güvenlik açıkları yaşadığını ortaya koymuştur.
Fortinet, bu hafta BreachForums üzerinden 440 GB’lık bilgiyi sızdıran ve kendine “Fortibitch” adını veren bir hacker tarafından küçük bir müşteri grubuna ait verilerin sızdırıldığını doğruladı. Hacker, verileri bir Azure SharePoint sitesinden elde ettiğini iddia ediyor ve şirketin fidye talebiyle müzakere etmeyi reddetmesinin ardından bu bilgileri sızdırdığını belirtiyor. Bu durum, şirketlerin üçüncü taraf bulut depolarında tuttukları verileri koruma sorumluluğunu yeniden gündeme getiriyor.
Bu güvenlik olayı, özellikle Asya-Pasifik bölgesindeki müşterileri etkilemiş gibi görünüyor. Avustralya İçişleri Bakanlığı, olaydan haberdar olduklarını doğruladı, ancak detay vermekten kaçındı. Olayın niteliği şu an için netlik kazanmamış olsa da, Capital Brief’e göre ihlal geçen ay meydana geldi, ancak İçişleri Bakanlığı durumu yeni keşfetti.
Fortinet’in Avustralya’da Siber Güvenlik Alanındaki Rolü
Fortinet, sadece bir güvenlik sağlayıcısı olmanın ötesine geçerek, Avustralya gibi ülkelerdeki siber güvenlik altyapısına önemli katkılarda bulunuyor. Son dönemde, Avustralya’nın 2023-2030 Siber Güvenlik Stratejisi için önerilerde bulunan Fortinet, bu ülkenin siber tehditlere karşı direncini artırma çabalarına destek oluyor. Şirketin açıklamalarına göre, Fortinet, Avustralya’nın kritik altyapılarını, işletmelerini ve vatandaşlarını koruma konusunda güçlü bir pozisyonda bulunuyor.
Fortinet, Five Eyes ittifakına dahil olan ülkeler için kullanım sertifikasına sahip bir firma olarak, Avustralya’da federal ve savunma pazarında da büyük yatırımlar yapmıştır. 2021’de, Avustralya hükümetinin siber güvenlik düzenlemelerini güçlendirme çalışmalarına katkıda bulunan Fortinet, yerel yetenekler ve güvenilir kaynaklarla bu pazarda kendini konumlandırmıştır.
Olayın Detayları
Fortinet, ihlalin ardından yaptığı açıklamada, bir kişinin üçüncü taraf bulut tabanlı bir dosya sürücüsündeki sınırlı sayıda dosyaya yetkisiz erişim sağladığını belirtti. Şirket, dünya genelinde 775.000’den fazla müşteriye sahip olup, bu ihlalden etkilenen müşteri sayısının %0,3’ten az olduğunu vurguladı. Bu oran, yaklaşık olarak 2.325 müşteriye karşılık gelmektedir. Ancak Fortinet, sızdırılan verilerle ilgili herhangi bir kötü niyetli faaliyet tespit etmediklerini ve olayın operasyonları ya da finansal durumu üzerinde maddi bir etkisinin olmayacağını açıkladı.
Sızdırılan Veriler ve Fidye Müzakereleri
CloudSEK tarafından yapılan tehdit analizi, “Fortibitch” adlı hacker’ın sadece müşteri verilerini değil, aynı zamanda finansal belgeler, pazarlama dokümanları, ürün bilgileri ve Hindistan’dan bazı çalışan verilerini de sızdırdığını ortaya koydu. Hacker, Fortinet ile fidye talepleri üzerine müzakere etmeye çalıştı ancak başarılı olamayınca verileri sızdırma yoluna gitti.
Bu tür saldırılar, şirketlerin bulut depolarında sakladıkları verilerin ne kadar iyi korunup korunmadığını sorgulatan önemli olaylardır. Fortinet, olayın ardından müşterilerine yönelik risk azaltma planlarını devreye soktuğunu ve bu süreçte müşterilerle doğrudan iletişim kurduğunu belirtti. Ancak, bu tip ihlallerde asıl önemli olan şey, sızdırılan verilerin nasıl kullanılacağı ve uzun vadeli etkilerinin ne olacağıdır.
FBI’dan Alan Adı Kayıt Operatörüne Gönderilen E-posta
FBI Email to Registrar:
I’m a Computer Scientist within the FBI’s Cyber Division, and I’m one of the primary point-of-contacts for any domain operations for the FBI. Earlier this week, on May 15th, 2024, the FBI had conducted an operation against the illicit forum and marketplace ‘BreachForums’.
Some public cybersecurity outlets caught wind of the actions, and posted articles on the domain seizure and subsequent splash page. On the morning of the operation, the FBI seized control of a few domains associated with BreachForums, including breachforums.st and others, that were hosted by NiceNic. We were able to lawfully seize them by serving a court-ordered seizure warrant on an account owner located in the United States.
All of the websites that we seized from the account were dedicated to the theft, sale, and sharing of data stolen from victims around the world. Ultimately, our efforts to take down BreachForums were done to prevent any further damage done by the website to countless victims globally.
However, a few hours after the seizure of the domains, around May 15th at 9PM PST, we noticed that the breachforums.st domain was released from our custody and given back to the original threat actor. We also noticed that we were unable to log into our official FBI account at NiceNic, which was registered with the email [email protected] (username: bf_fbi), leading us to believe that the account was suspended.
As such, I was wanting to provide some additional context around the situation to hopefully overturn the account suspension, in addition to returning the lawfully-seized domains back to the FBI NiceNic account.
Additionally, within your domain registration terms of service, you reference that the services will not be used to “promote hacking, cracking, or other cyber crimes or activities”, which is a common activity found within and associated with BreachForums.
If the domains cannot be returned to the FBI, we would kindly request that the nameservers be changed to FBI-owned nameservers or suspended via a clientHold to prevent further harm in accordance to your terms of service. The NiceNic account which currently holds the domains, ‘vincenzotroia’, has actively disregarded and broken your service agreements by continuing to host these domains.
I look forward to hearing back from you – we would all really appreciate any help or guidance that you might be able to provide on the situation.
Respectfully,
S***
Ben FBI’ın Siber Suçlar Bölümü’nde çalışan bir Bilgisayar Bilimcisiyim ve FBI adına gerçekleştirilen alan adı operasyonları için ana iletişim noktalarından biriyim. Bu hafta, 15 Mayıs 2024 tarihinde, FBI olarak yasadışı forum ve pazar yeri olan ‘BreachForums’a yönelik bir operasyon gerçekleştirdik.
Bazı siber güvenlik kaynakları bu operasyona dair haberler yayımladı ve alan adı ele geçirme ile ardından gelen açılış sayfasına ilişkin içerikler paylaştı. Operasyonun başında, NiceNic tarafından barındırılan BreachForums ile ilişkili olan breachforums.st ve diğer birkaç alan adını kontrol altına aldık. Bu alan adlarını, ABD’de bulunan bir hesap sahibine yönelik mahkeme kararıyla yasal olarak ele geçirdik.
Ele geçirdiğimiz tüm web siteleri, dünya genelindeki mağdurlardan çalınan verilerin çalınması, satışı ve paylaşımına adanmıştı. BreachForums’un devre dışı bırakılması, dünya çapındaki sayısız mağdurun daha fazla zarar görmesini önlemek amacıyla gerçekleştirildi.
Ancak, alan adlarının ele geçirilmesinden birkaç saat sonra, 15 Mayıs saat 21:00 PST civarında breachforums.st alan adının kontrolümüzden çıktığını ve orijinal tehdit aktörüne geri verildiğini fark ettik. Ayrıca, NiceNic’teki resmi FBI hesabımıza ([email protected], kullanıcı adı: bf_fbi) erişimimizin engellendiğini gördük, bu da hesabın askıya alındığına işaret ediyor.
Bu bağlamda, hesabın askıya alınmasının kaldırılması ve yasal olarak ele geçirdiğimiz alan adlarının FBI NiceNic hesabına geri verilmesi için duruma biraz daha açıklık getirmek istiyorum.
Ayrıca, alan adı kayıt hizmet şartlarınızda, hizmetlerin “hacking, cracking veya diğer siber suçları teşvik etmek amacıyla” kullanılmayacağını belirtiyorsunuz, bu da BreachForums gibi platformlarla doğrudan ilişkili bir faaliyettir.
Eğer bu alan adları FBI’a geri verilemiyorsa, isim sunucularının FBI’a ait sunucularla değiştirilmesini veya clientHold ile askıya alınmasını rica ederiz. Şu anda bu alan adlarını elinde bulunduran ‘vincenzotroia’ adlı NiceNic hesabı, bu alan adlarını barındırarak hizmet şartlarınızı ihlal etmeye devam etmektedir.
Durumla ilgili geri dönüşünüzü bekliyorum ve sağlayabileceğiniz her türlü yardım veya rehberlik için şimdiden teşekkür ederim.
Saygılarımla,
S***
Bu e-posta konuşması, BreachForums’tan alınmıştır ve Hackread.com tarafından paylaşılmıştır.
Bulut Ortamında Veri Güvenliği ve Riskler
Fortinet’in ihlali, SaaS (Software as a Service) ve bulut hizmetlerini kullanan şirketler için veri güvenliği risklerini yeniden gündeme getirdi. Özellikle bulut depolarında saklanan hassas veriler, MFA (Çok Faktörlü Kimlik Doğrulama) kullanılmadığında ya da erişim hakları iyi yönetilmediğinde ciddi bir güvenlik açığı yaratabiliyor.
Örneğin, Metomic tarafından yapılan bir araştırmada, 6.5 milyon Google Drive dosyasının %40’ından fazlasının hassas bilgiler içerdiği tespit edildi. Metomic CEO’su Rich Vibert, MFA’nın kullanılmamasının ve çalışanlara gereğinden fazla erişim hakkı tanınmasının büyük risk yarattığını vurguluyor. Fortinet’in olayında da benzer bir senaryonun yaşanmış olması muhtemel.
Fortinet’in Yanıtı ve İyileştirme Adımları
“Fortileak” adı verilen bu veri ihlalinde, hacker Fortinet’in Azure SharePoint platformundaki bir güvenlik açığını kullanarak 440 GB veri elde etti. Fidye taleplerine yanıt olarak Fortinet CEO’su Ken Xie, fidye ödemeyi reddetmiş ve hacker’ın verileri sızdırmasına sebep olmuştur. Şirket sözcüsü, olayın ardından Fortinet’in operasyonlarının etkilenmediğini, müşterilerle doğrudan iletişime geçerek durumu kontrol altına aldıklarını belirtti.
Fortinet, olayın ardından dış bir adli bilişim firmasıyla çalışarak kendi iç inceleme bulgularını doğrulattı. Bu, olayın şeffaf bir şekilde ele alındığını ve olası tekrarların önlenmesi için güvenlik önlemlerinin artırıldığını gösteriyor. Şirket ayrıca hesap izleme ve tehdit tespit sistemlerini güçlendirdiğini belirtti.
Fortinet’in açıklamasında bazı eksik noktalar göze çarpıyor. Şirket, yetkisiz erişim sağlanan dosyaların içeriği ve hangi müşteri bilgilerinin tehlikeye girdiği konusunda detaylı bilgi sunmamış durumda. Etkilenen verilerin sınırlı olduğunu belirtse de, bu verilerin ne kadar hassas olduğu, yani finansal ya da kişisel bilgiler içerip içermediği konusunda kesin bir açıklama yapılmamış. Bu belirsizlik, ihlalin potansiyel etkilerini değerlendirmeyi zorlaştırıyor.
Fortinet, olayın finansal durumu üzerinde önemli bir etkisi olmayacağını belirtmiş olsa da, bu tür olayların uzun vadeli etkileri her zaman hemen belli olmayabilir. Büyük kurumsal müşteriler, yaşanan bu tip ihlallerin ardından hizmetlere olan güveni sorgulayabilir ve bu durum müşteri kaybına neden olabilir. Kısa vadede bir etki görülmese de, uzun vadede ortaya çıkabilecek sonuçlar belirsizdir.
İhlalin Kapsamı Hakkında
Fortinet, olayın sadece sınırlı sayıda dosyaya erişimi içerdiğini ve başka sistemlere erişilmediğini belirtmiş. Ancak, bu tür olaylarda sistemlere yetkisiz erişim sağlandığında, saldırganların başka kaynaklara erişip erişmediği her zaman net olmayabilir. Fortinet’in başka kaynaklara erişilmediği yönündeki açıklaması, olumlu bir mesaj olmakla birlikte, tam bir güvence sunmak her zaman zor olabilir.
Ayrıca, Fortinet’in açıklamasında olayın ciddiyetini hafifletme çabası sezilebiliyor. Şirketin olayın mali ve operasyonel etkilerinin sınırlı olacağına yönelik açıklamaları, kamuoyu algısında bu tür ihlallerin nasıl yankı bulacağını yeterince hesaba katmamış olabilir. Siber güvenlik dünyasında, güvenlik ihlalleri her zaman hassas bir konu olarak ele alınır ve bazen bu tür açıklamalarda daha ihtiyatlı bir dil kullanılmalıdır.
Fortinet’in bu güvenlik olayı karşısındaki duruşu, genel anlamda olumlu ve güven verici olsa da, olayın kapsamı ve etkilenen verilerin hassasiyeti konusunda daha fazla detay verilmesi faydalı olabilirdi. Müşteri bilgilerinin hangi tür verileri içerdiği ve bu verilerin potansiyel olarak daha büyük riskler yaratıp yaratmadığı konusundaki belirsizlik, açıklamanın en önemli eksiklerinden biridir.
Bununla birlikte, Fortinet’in dış adli bilişim incelemeleri ve artırılmış güvenlik önlemleri, şirketin bu olayı ciddiye aldığını ve gelecekte benzer ihlallerin önüne geçmek için adımlar attığını gösteriyor. Siber güvenlik dünyasında bu tür olayların etkisi büyük olabilir, bu nedenle Fortinet’in attığı adımlar ve izlediği strateji, gelecekte bu tür tehditlerin azaltılması açısından kritik önem taşımaktadır.
Sonuç olarak, Fortinet’in bu olay karşısında gösterdiği hızlı ve şeffaf yaklaşım, siber güvenlik dünyasında önemli bir örnek teşkil ediyor. Ancak, gelecekte benzer olayların yaşanmaması için alınan önlemlerin yeterliliği zaman içinde test edilecektir. Müşteri güvenini tazelemek ve korumak, bu süreçte Fortinet’in en büyük önceliği olmalıdır.
KAYNAKLAR
Dark Reading, https://www.darkreading.com/cloud-security/fortinet-customer-data-breach-third-party
FORTİNET, https://www.fortinet.com/blog/business-and-technology/notice-of-recent-security-incident
TECHCRUNCH, https://techcrunch.com/2024/09/13/fortinet-confirms-customer-data-breach/
HACKREAD, https://hackread.com/fortinet-confirms-data-breach-hacker-data-leak/