PTT'nin Hızlı Geçiş Sistemi (HGS) platformu, önemli bir siber saldırıya uğradı. Bu saldırı, yalnızca HGS sistemini değil, aynı zamanda Anadolu Sigorta'nın "Sigortam Cepte" adlı mobil uygulamasını da etkiledi. Saldırıların temelinde, popüler bir mobil push bildirim framework'ü olan OneSignal yer alıyor. OneSignal, pek çok uygulama tarafından push bildirimleri göndermek için kullanılan bir araçtır. Bu saldırı, bu framework'e ait API anahtarlarının ele geçirilmesiyle gerçekleştirildi.
Saldırının Perde Arkası
Saldırıların ardında, OneSignal platformunun API'lerinin güvenlik açıkları bulunuyor. API (Application Programming Interface) anahtarları, uygulamaların dış sistemlerle iletişim kurmasını sağlayan önemli güvenlik bileşenleridir. Bu anahtarların yanlış bir şekilde depolanması, kötü niyetli kişilerin sisteme sızmasına olanak tanıyabiliyor.
George Deglin, OneSignal'ın CEO'su, saldırıya dair yaptığı açıklamada, API anahtarlarının yanlışlıkla güvenlik önlemleri alınmadan depolanmış olabileceğini belirtti. Bu nedenle, siber saldırganlar, doğru anahtarı bulduklarında bu anahtarları kullanarak platforma sızma gerçekleştirdi.
HGS Sistemi ve Diğer Uygulamalar Üzerindeki Etkisi
HGS sisteminin hacklenmesi, kullanıcıların otoban ve köprü geçişlerinde kullandıkları elektronik ödeme sistemlerinin olumsuz etkilenmesine yol açtı. Saldırının etkisiyle, sistemin düzgün çalışmaması, kullanıcıların geçiş işlemleri sırasında sıkıntılar yaşamasına neden oldu. Ayrıca, Anadolu Sigorta'nın "Sigortam Cepte" uygulamasına yapılan saldırı da bu saldırının bir parçasıydı. Her iki olayda da, saldırganlar OneSignal API anahtarlarını kullanarak sistemlere sızmayı başardılar.
Saldırıların Arkasında Yatan Teknolojik Sorunlar
Saldırıların ortaya çıkardığı en büyük sorunlardan biri, API anahtarlarının güvenli bir şekilde saklanmıyor olması. Uzmanlar, API anahtarlarının güvenli olmayan ortamlar ya da veritabanlarında depolanmasının büyük bir risk teşkil ettiğini vurguluyor. Böyle bir güvenlik açığı, saldırganların bu anahtarları ele geçirmesini ve ardından uygulamalara müdahale etmesini kolaylaştırıyor.
Bu olay, sadece PTT ve Anadolu Sigorta’yı etkilemekle kalmadı, aynı zamanda OneSignal gibi benzer teknolojilere sahip diğer uygulamaların da tehlike altında olduğuna işaret ediyor. Bu nedenle, bu tür platformların güvenlik önlemlerini gözden geçirmesi ve API anahtarlarını daha güvenli bir şekilde saklamaları gerektiği vurgulanıyor.
Saldırıların ardından, hem PTT hem de Anadolu Sigorta uygulamaları geçici olarak devre dışı bırakıldı. OneSignal, bu sistemde yaşanan güvenlik açığını gidermek için çalışmalarına başladı. Kullanıcıların güvenliğini sağlamak amacıyla, yeni bildirimler gönderilmesi engellendi ve API anahtarlarının güvenliği artırıldı.
Uzmanlar, uygulama geliştiricilerine API anahtarlarını güvenli bir şekilde saklamak için çeşitli önerilerde bulunuyor. Örneğin, bu anahtarların şifrelenmiş olarak saklanması ve erişim kontrollerinin sıkılaştırılması gerektiği ifade ediliyor. Ayrıca, API'lerle etkileşen uygulamalar için düzenli güvenlik taramaları yapmanın da büyük önem taşıdığı vurgulanıyor.
