ABD’nin telekomünikasyon devlerinde biri olan T-Mobile, geçtiğimiz hafta sonu büyük bir veri ihlali ile gündeme geldi. Bir tehdit aktörü tarafından bir yer altı formunda, T-Mobile’ın 30 milyon müşterisine ait veri kayıtları satışa sunulmuştu. Ancak, satılan bu veri kayıtlarının küçük bir kısmı olduğu ve toplamda 100 milyon kullanıcıya ait veri kayıtlarının olduğu daha sonra anlaşılmıştı. Tehdit aktörü, 30 milyon kişiye ait veri kayıtlarına karşılık 6 bitcoin(yaklaşık 270 Bin Dolar) talep etmişti.
Bu konuyla ilgili ilk haber Vice tarafından duyurulmuştu. Açıkcası forumdaki konunun içerisinde T-Mobile ile ilgili tek bir bilgi dahi geçmiyordu. Ancak tehdit aktörünün Vice ile paylaştığı bilgiye göre, veriler T-Mobile sunucularından geliyormuş. Bunun yanında Vice’da çalışan Joseph Cox tarafından, veri setlerine ait örnek kayıtlar incelenmiş ve T-Mobile müşterileri hakkında doğru bilgiler içerdiği onaylanmış.
Tehdit aktörü tarafından BleepingComputer ile başka ayrıntılarda paylaşılmış. Tehdit aktörü, müşteri verilerini içeren bir Oracle veritabanı sunucusu da dahil olmak üzere iki hafta önce T-Mobile’ın üretim, hazırlama ve geliştirme sunucularını hacklediğini iddia etmiş. Bu çalınan verilerin yaklaşık 100 milyon T-Mobile müşterisine ait verileri içerdiği ve müşterilere ait ad, soyad, IMEI numarası, telefon numarası, sosyal güvenlik numarası gibi pek çok veri kaydının olduğunu da iddia etmiş.
Bunlara kanıtı olarak tehdit aktörü tarafından, BleepingComputer ile üzerinde Oracle çalıştırılan bir üretim sunucusuna ait SSH bağlantısının ekran görüntüsünü paylaştı. Yine diğer iddialarından biri de 2004’e kadar uzanan tüm IMEI geçmişine ait veri tabanınında çalındığı olmuş.
Ayrıca siber güvenlik istihbarat firması Cyble tarafından BleepingComputer’a verilen demeçte, tehdit aktörünün T-Mobile’ın müşteri ilişkileri yönetimi (CRM) veritabanı da dahil olmak üzere toplam olarak yaklaşık 106 GB veriye sahip birkaç veritabanı elde ettiğini iddia olarak belirtti.
T-Mobile, veri ihlalini onayladı
T-Mobile tarafından 16 Ağustos Pazartesi günü yapılan açıklamada, ihlalin onaylandığı ve ilgili araştırmaların devam ettiği yönünde bilgiler vermişti fakat satışa çıkarılan veri kayıtlarıyla ilgili herhangi bir doğrulama yapamayacaklarını belirtmişlerdi. Ancak, tehdit aktörünün iddiaları doğrulanırsa bu olay, bugüne kadarki en büyük ABD telekomünikasyon ihlallerinden biri olacaktır.
T-Mobile saldırısında CIA ve Türk istihbaratı şüphesi
Siber istihbarat alanında faaliyet göstere Hudson Rock şirketinin CTO’su Alon Gal, T-Mobile’da yaşanan veri ihlalin arkasındaki tehdit aktörü ile bir yazışma gerçekleştirmiş ve bu saldırıyla ilgili yeni bilgiler ortaya çıkmıştı. Tehdit aktörünün iddiasına göre, CIA ve Türk istihbaratı tarafından John Erin Binns (CIA Raven-1) adlı kişinin 2019 yılında Almanya’da kaçırılması ve işkence görmesi nedeniyle ABD’ye misilleme olarak yapılmış. Bunun yanında tehdit aktörü, saldırıyı ABD’nin altyapısına zarar vermek için gerçekleştirdiklerini de belirtmiş.
John Erin Binns adlı kişinin Türkiye’de yaşayan bir ABD vatandaşı olduğu ve 2020 yılında FBI, CIA ve ABD Adalet Bakanlığı’na dava açtığı belirtiliyor. Binns tarafından yapılan şikayette, ABD ve Türk hükümetleri tarafından kendisine işkence ve taciz edildiği iddia ediliyor ve ABD’yi Bilgi Edinme Özgürlüğü Yasası kapsamında bu faaliyetlerle ilgili belgeleri yayınlamaya zorlamaya çalışıyor.
