Giriş: “OÇİB” Dediler, Teknoloji Şirketi Çıktı
Anonim hacker kanallarında paylaşılan 289 MB’lık bir SQL veritabanı dosyası, Kazakistan siber güvenlik gündemine bomba gibi düştü. Sızıntıyı yapanlar verilerin “OÇİB”e (Önemli bir endüstriyel veya devlet yapısı referansı olabilir) ait olduğunu iddia etse de, yapılan teknik analizler hedefin Inova Tech ve onunla aynı sunucuyu paylaşan müşteri siteleri olduğunu ortaya koydu.
Sızdırılan veritabanı (damytusite), sadece bir web sitesini değil, aynı sunucuda barındırılan bir dizi ticari ve kurumsal siteyi de tehlikeye attı.
🔍 Sızıntının Teknik Anatomisi
Ele geçirilen dosya, klasik bir WordPress MySQL dökümüdür (dump). Ancak içerdiği verilerin kritikliği, olayı basit bir “site hacklenmesi”nden öteye taşıyor.
📦 Dosya Özellikleri
-
Boyut: 289 MB
-
Satır Sayısı: 557.691 SQL satırı
-
Tablo Sayısı: 197
-
Hash İmzaları:
-
MD5:
74fe0e0a846048656c4e846fe7668692
-
SHA256:
3ed68cc8bc6859c62a3d02b4f2a3b6231878d68547e5cc6d5335723717fc6b3c
-
🌍 Domino Etkisi: Tek Sunucu, Çoklu Kurban
Saldırının en yıkıcı yönü, “Shared Infrastructure” (Paylaşılan Altyapı) zafiyetidir. Ana hedef Inova Tech olsa da, aynı Nginx sunucusunda barındırılan diğer müşteri siteleri de bu sızıntıdan nasibini aldı.
Veritabanında Tespit Edilen Etkilenen Alan Adları:
-
inova.kz (Ana Şirket) – 98.463 kayıt
-
pard.kz – 30.611 kayıt
-
partner.com.kz
-
damytu.com
-
odines.kz
-
koteru.kz (Alt alan adları dahil)
Saldırganlar, /usr/share/nginx/ dizini altındaki dosya yollarını ifşa ederek sunucunun tam dizin yapısını da haritalandırmış durumda.
🔑 İfşa Olan Kritik Veriler: “Dijital Anahtarlar”
Veritabanı dökümü, saldırganlara sistemin anahtarlarını altın tepside sunuyor.
1. Yönetici Kimlikleri
Sistem yöneticisinin (mtaratunin) tüm bilgileri sızdı.
-
E-postalar:
info@damytu.com, info@koteru.kz, m.taratunin@inova.kz
-
Şifreler: Hem eski tip WordPress hashleri ($P$B…) hem de modern bcrypt hashleri ($wp$2y$10$…) sızdı. Bu şifreler kırılırsa, saldırganlar panele erişebilir.
2. API ve Gizli Anahtarlar (Secret Keys)
Saldırganlar sadece siteye girmekle kalmayıp, entegre servisleri de manipüle edebilir:
-
WordPress Secret Keys: Çerezleri (cookies) ve oturumları şifrelemek için kullanılan anahtarlar.
-
Cloudflare Turnstile Anahtarları: Bot korumasını aşmak için kullanılabilir.
-
Freemius SDK & AppThemes API: Ücretli eklenti ve temaların lisans yönetimi veya API erişimleri tehlikede.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Hedef | Inova Tech ve Müşterileri (Kazakistan) |
| Sızıntı Türü | MySQL SQL Dump (WordPress) |
| İfşa Olan Veriler | Admin Şifreleri, API Anahtarları, Sunucu Yolları, Müşteri Verileri |
| Olası Neden | WordPress Eklenti Zafiyeti veya Yanlış Yapılandırma |
| Konum | Almatı, Kazakistan |
🛡️ Çıkarılacak Dersler ve Çözüm
Bu olay, Elementor, WooCommerce, WPForms gibi popüler eklentilerin güncel tutulmasının ve sunucu yapılandırmasının ne kadar hayati olduğunu gösteriyor.
Mağdurlar İçin Acil Eylem Planı:
-
Tüm Şifreleri Değiştirin: Sadece WordPress değil, veritabanı ve e-posta şifrelerini de yenileyin.
-
API Anahtarlarını İptal Edin (Rotate): Cloudflare, Freemius ve diğer tüm API anahtarlarını silip yenilerini oluşturun.
-
WordPress Tuzlarını (Salts) Yenileyin: wp-config.php içindeki gizli anahtarları değiştirerek mevcut tüm kullanıcı oturumlarını düşürün.
-
İzolasyon: Mümkünse, her müşteriyi veya projeyi ayrı sunucularda veya izole edilmiş konteynerlerde barındırın.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
