Tech Patrol

Etiket: cybersecurity

  • # Eski Disney Çalışanı Menüleri Hacklemekten 3 Yıl Hapis Cezası Aldı

    ## Eski Disney Çalışanı Menüleri Hacklemekten 3 Yıl Hapis Cezası Aldı

    Eski bir Disney çalışanı, şirketin restoran menülerinin alerjen bilgilerini değiştirmek ve diğer çalışanların hesaplarını kilitlemek amacıyla “hizmet reddi saldırıları” düzenlemekten dolayı üç yıl federal hapis cezasına çarptırıldı. Mahkeme, Michael Scheuer adlı şahsın yaklaşık 690.000 dolar para cezası ödemesine de hükmetti.

    Ocak ayında suçunu itiraf eden Scheuer, işi gereği şirketin menü oluşturma ve düzenleme sistemine erişebiliyordu. Geçen yıl Haziran ayında işten çıkarıldıktan sonra, Scheuer, ekip tarafından paylaşılan bir kullanıcı adı ve şifre kullanarak şirketin menülerinde değişiklikler yaptı. Mahkeme belgelerine göre, bazı durumlarda ürün açıklamalarına alerjen bilgileri ekledi veya değiştirdi, ancak ayrı bir alerjen bilgi sayfasını olduğu gibi bıraktı. ABD savcıları, yaptığı değişikliklerin insanları yiyeceklerin güvenli olduğunu düşünmeye sevk edebileceğini savundu.

    Diğer değişiklikler arasında menü yazı tiplerini Wingdings ile değiştirme ve yemeklerin adlarını şaka isimleriyle değiştirme yer alıyordu. (Örneğin, “Kabuklu Deniz Ürünleri” “Cehennem Balığı” oldu.) CNN’in belirttiği gibi, “Disney değiştirilmiş tüm menüleri restoranlara gönderilmeden önce tespit etti ve kaldırdı.”

    Scheuer’in avukatı, ceza indirim talebinde Scheuer’in menü değişikliklerini yalnızca şirketin dikkatini çekmek için yaptığını, çünkü bir akıl sağlığı sorunundan dolayı haksız yere işten çıkarıldığına inandığını belirtiyor. Avukat, iş yerinde bir anlaşmazlık sırasında panik atak geçirdikten ve akıl sağlığı desteği talep ettikten sonra işten çıkarıldığını ve davasını alacak bir avukat bulmakta veya şirketteki kimseyi endişelerine yanıt vermeye ikna etmekte zorlandığını iddia etti. Ancak federal avukatlar, kendi ceza indirim taleplerinde, bazı değişiklikleri “özellikle tespit edilmekten kaçınmak için” gizlice yaptığını savundu.

    ABD, Scheuer’i Disney’in menülerini karıştırmanın yanı sıra, “işten çıkarılmasına karışan bazıları dahil olmak üzere on dört çalışana karşı bir dizi hizmet reddi saldırısı” başlatmakla da suçladı. Bu saldırıları “binlerce yanlış oturum açma girişimini simüle ederek onları kilitleyerek” gerçekleştirdiği iddia ediliyor. FBI evinde arama yaptıktan sonra, çalışanlardan birinin evinin önünde de bulundu. ABD avukatları, Scheuer’in eylemlerinin en azından kısmen “bir akıl sağlığı nöbeti” tarafından yönlendirildiğini kabul etti.

  • # Mouse Trap: Former Disney Employee Gets Three Years for Menu Hacking Spree

    ## Mouse Trap: Former Disney Employee Gets Three Years for Menu Hacking Spree

    A former Disney employee is heading to federal prison for three years after hacking into the company’s restaurant menu system and launching denial-of-service attacks against former colleagues. Michael Scheuer, who pleaded guilty in January, was also ordered to pay nearly $690,000 in fines for the cyber intrusions.

    Scheuer, who had access to Disney’s menu creation and editing system as part of his previous job, used a shared team login after his termination in June of last year to make unauthorized changes to the company’s menus. These alterations weren’t mere cosmetic tweaks; according to court documents, Scheuer added or replaced allergen information in item descriptions while leaving a separate allergen information sheet unchanged. US attorneys argued that these deliberate discrepancies could have misled customers with allergies, potentially leading to dangerous consequences.

    Beyond the serious concern of allergen misinformation, Scheuer also engaged in more whimsical acts of digital vandalism. He swapped menu fonts to Wingdings and replaced dish names with jokes – turning “Shellfish” into “Hellfish,” for example. While Disney caught and removed the altered menus before they reached restaurants, the potential for disruption was significant.

    Scheuer’s lawyer argued that the menu changes were a misguided attempt to get Disney’s attention, claiming he believed he was wrongfully terminated following a panic attack and subsequent request for mental health accommodations. Unable to find legal representation or get a response from the company, he resorted to hacking, according to his legal team. However, federal prosecutors countered that Scheuer made certain alterations “specifically to avoid detection,” undermining the argument that his actions were solely for attention.

    In addition to the menu manipulations, Scheuer also launched “serial denial-of-service attacks” against fourteen former employees, some of whom were involved in his termination. He achieved this by simulating thousands of incorrect login attempts, effectively locking them out of their accounts. The FBI even found him outside the home of one of these employees after searching his residence.

    While attorneys acknowledged that Scheuer’s actions were partly driven by a mental health episode, the severity of the cyber intrusions and the potential risks they posed, especially regarding allergen information, ultimately led to the three-year sentence. This case serves as a stark reminder of the serious consequences of unauthorized access and malicious activity within corporate systems, regardless of the perceived justification.

  • # Google’a Göre Devlet Destekli Hacker’lar “Sıfır Gün” Açıklarını Kullanmada Öncü

    ## Google’a Göre Devlet Destekli Hacker’lar “Sıfır Gün” Açıklarını Kullanmada Öncü

    Google’ın yeni araştırması, hükümetler için çalışan hacker’ların, geçen yıl gerçek dünya siber saldırılarında kullanılan “sıfır gün” (zero-day) açıklarının büyük çoğunluğundan sorumlu olduğunu ortaya koyuyor.

    “Sıfır gün” açıkları, yazılım üreticilerinin hacker’lar tarafından kötüye kullanıldığı anda haberdar olmadığı güvenlik kusurlarına verilen isimdir. Google’ın raporuna göre, sıfır gün açıklarının sayısı 2023’te 98 iken 2024’te 75’e düştü. Ancak raporda, Google’ın atfedebildiği (yani, bunları kötüye kullanmaktan sorumlu hacker’ları belirleyebildiği) sıfır gün açıklarının en az 23’ünün devlet destekli hacker’larla bağlantılı olduğu belirtildi.

    Bu 23 açıktan 10’u, doğrudan hükümetler için çalışan hacker’lara atfedildi. Bu açıkların beşinin Çin’e, diğer beşinin ise Kuzey Kore’ye bağlı olduğu tespit edildi.

    Diğer sekiz açığın ise, tipik olarak yalnızca hükümetlere satış yaptıklarını iddia eden NSO Group gibi “casus yazılım üreticileri” ve “gözetim sağlayıcıları” tarafından geliştirildiği belirlendi. Casus yazılım şirketleri tarafından yapılan bu sekiz açık arasında, Google, Sırp yetkililerin Cellebrite telefon kilidi açma cihazlarını kullanarak yakın zamanda istismar ettiği hataları da sayıyor.

    Google Tehdit İstihbarat Grubu’nda (GTIG) güvenlik mühendisi olan Clément Lecigne, casus yazılım üreticileri tarafından geliştirilen sekiz vakaya rağmen, bu şirketlerin “yeteneklerinin açığa çıkmasını önlemek ve haberlere konu olmamak için operasyonel güvenliğe daha fazla kaynak yatırdığını” TechCrunch’a söyledi.

    Google ayrıca, gözetim satıcılarının yayılmaya devam ettiğini de ekledi. GTIG’de kıdemli analist olan James Sadowski, “Yasal işlem veya kamuya açıklama nedeniyle bazı satıcılar işten çıkarıldığında, benzer hizmetler sunmak için yeni satıcıların ortaya çıktığını gördük” dedi. “Hükümet müşterileri bu hizmetleri talep etmeye ve ödemeye devam ettiği sürece, endüstri büyümeye devam edecek.”

    Geriye kalan 11 sıfır gün açığının ise, VPN’ler ve yönlendiriciler de dahil olmak üzere kurumsal cihazları hedef alan fidye yazılımı operatörleri gibi siber suçlular tarafından istismar edildiği tahmin ediliyor.

    Rapor ayrıca, 2024 boyunca istismar edilen toplam 75 sıfır gün açığının çoğunun, telefonlar ve tarayıcılar gibi tüketici platformlarını ve ürünlerini hedeflediğini; geri kalanının ise tipik olarak kurumsal ağlarda bulunan cihazları hedeflediğini buldu.

    Google’ın raporuna göre iyi haber şu ki, sıfır gün saldırılarına karşı savunma yapan yazılım üreticileri, açık oluşturucuların hata bulmasını giderek zorlaştırıyor.

    Raporda, “Tarihsel olarak popüler olan tarayıcılar ve mobil işletim sistemleri gibi bazı hedeflerin sıfır gün istismarında önemli azalmalar görüyoruz” denildi.

    Sadowski özellikle, iOS ve macOS için cep telefonlarını ve bilgisayarları güçlendirmek amacıyla belirli işlevleri devre dışı bırakan özel bir özellik olan “Kilitleme Modu”na ve belirli hata türlerini tespit etmeye ve cihaz güvenliğini artırmaya yardımcı olan modern Google Pixel yonga setlerinin bir güvenlik özelliği olan “Bellek Etiketleme Uzantısı”na (MTE) dikkat çekti.

    Google’ınki gibi raporlar değerlidir çünkü sektöre ve gözlemcilere, hükümet destekli hacker’ların nasıl çalıştığına dair anlayışımıza katkıda bulunan veri noktaları verir. Ancak, sıfır gün açıklarını saymakla ilgili doğal bir zorluk da var: Doğası gereği, bazılarının tespit edilememesi ve tespit edilenlerin bazılarının da atfedilememesi.

  • # State-Sponsored Hackers Dominate Zero-Day Exploit Landscape, Google Report Reveals

    ## State-Sponsored Hackers Dominate Zero-Day Exploit Landscape, Google Report Reveals

    A new report from Google sheds light on the evolving landscape of cybersecurity threats, revealing that government-backed actors are increasingly responsible for exploiting previously unknown vulnerabilities, known as zero-day exploits. While the overall number of zero-day exploits decreased in 2024 compared to the previous year, the proportion attributed to state-sponsored entities has risen sharply.

    According to Google’s research, the total number of zero-day exploits dropped from 98 in 2023 to 75 in 2024. A zero-day exploit targets a security flaw unknown to the software vendor, making it particularly dangerous. However, the report highlights a concerning trend: of the exploits that could be attributed, at least 23 were linked to government-backed hackers.

    Of those 23 attributed zero-days, 10 were directly traced to government-affiliated hackers, with China and North Korea each accounting for five exploits. Another eight were attributed to commercial spyware vendors like NSO Group, who typically claim to exclusively sell their tools to governments. This raises questions about the ethics and potential misuse of such powerful surveillance technologies. The report even points to instances where Serbian authorities allegedly used Cellebrite phone-unlocking devices, tools often acquired by law enforcement, to plant spyware on a journalist’s phone.

    [Insert chart from the content here]

    *A chart showing the zero-day exploits that were attributed in 2024. (Image: Google)*

    Despite the controversy surrounding spyware vendors, Google notes that these companies are becoming more adept at hiding their activities. Clément Lecigne, a security engineer at Google’s Threat Intelligence Group (GTIG), stated that spyware makers “are investing more resources in operational security to prevent their capabilities being exposed and to not end up in the news.”

    This increased focus on secrecy underscores the ongoing cat-and-mouse game between security researchers and exploit developers. The remaining 11 attributed zero-days were likely used by cybercriminals, targeting enterprise devices like VPNs and routers with ransomware attacks.

    The report further highlights that the majority of the 75 exploited zero-days targeted consumer platforms and products such as phones and browsers, while the rest focused on corporate networks. This emphasizes the pervasive threat to both individual users and organizations.

    However, the report offers some optimistic news: software vendors are making it increasingly difficult for exploit developers to find vulnerabilities. Google’s report notes “notable decreases in zero-day exploitation of some historically popular targets such as browsers and mobile operating systems.”

    Specific examples include Apple’s Lockdown Mode, a hardened security feature for iOS and macOS devices that has demonstrably thwarted government-backed hackers, and Memory Tagging Extension (MTE), a security enhancement in modern Google Pixel chipsets that helps detect certain types of bugs.

    While the inherent challenge of detecting and attributing all zero-day exploits remains, Google’s report provides valuable insights into the evolving threat landscape. By understanding how government hackers and cybercriminals operate, the industry and individuals can better defend against these sophisticated attacks and work towards a more secure digital future. These data points contribute significantly to our understanding of the current threat landscape and inform future cybersecurity strategies.

  • # “Take It Down Act” Heads to Trump’s Desk: A Double-Edged Sword for Online Safety?

    ## “Take It Down Act” Heads to Trump’s Desk: A Double-Edged Sword for Online Safety?

    The “Take It Down Act,” a bill aimed at combating the spread of nonconsensual intimate images (NCII), including AI-generated “deepfakes,” is on its way to President Trump’s desk after a resounding 409-2 vote in the House. While proponents hail the bill as a crucial step in protecting individuals from online abuse, critics warn that its broad provisions could be weaponized for censorship and create unintended consequences for privacy and free speech.

    The legislation mandates that social media companies remove flagged NCII content within 48 hours. This includes both real and computer-generated images, acknowledging the rising threat of deepfakes in online harassment and abuse, particularly affecting young people. President Trump has already pledged to sign the bill, even jokingly suggesting he might use it for his own protection, citing perceived unfair treatment online.

    The rapid proliferation of AI tools has fueled concerns about the ease with which damaging and fabricated content can spread. The “Take It Down Act” aims to address this issue directly, potentially offering victims a faster and more effective means of removing harmful content.

    However, the Cyber Civil Rights Initiative (CCRI), an organization dedicated to fighting image-based sexual abuse, expresses concerns about the potential for misuse. While they acknowledge the need to criminalize the nonconsensual distribution of intimate images, they worry that the takedown provision is “highly susceptible to misuse” and could be “counter-productive for victims.” Their primary concern lies with the bill’s enforcement by the Federal Trade Commission (FTC), particularly given President Trump’s past actions of firing dissenting Democratic commissioners. The CCRI fears that enforcement could be selectively applied, favoring platforms aligned with the administration while overlooking violations on others. This selective enforcement could inadvertently embolden “unscrupulous platforms” to ignore reports of NCII.

    Furthermore, the rapid turnaround time for content removal raises concerns about the accuracy and fairness of the process. The Electronic Frontier Foundation (EFF) warns that smaller platforms, struggling to comply with the strict deadlines, may resort to flawed filters to automatically flag and remove content, potentially leading to censorship of legitimate expression. The EFF also points out that the bill does not exempt end-to-end encrypted services, raising significant privacy concerns. How can these services comply with takedown requests when they cannot monitor user content? The EFF suggests that platforms might abandon encryption altogether, turning private conversations into surveilled spaces, which could negatively impact abuse survivors who rely on these platforms for secure communication.

    Despite these criticisms, the “Take It Down Act” enjoys widespread support. First Lady Melania Trump has championed the bill, and it has garnered backing from parent and youth advocates, as well as some within the tech industry. Google and Snap have publicly praised the bill’s passage, and Internet Works, a group representing medium-sized tech companies, believes it will “empower victims” to remove harmful content.

    However, dissenting voices like Representative Thomas Massie (R-KY), who voted against the bill, caution against its potential for abuse and unintended consequences. He views the legislation as a “slippery slope” that could be exploited for political or personal gain.

    The “Take It Down Act” presents a complex challenge: balancing the urgent need to protect individuals from online abuse, particularly with the rise of deepfakes, against the potential for censorship, privacy violations, and selective enforcement. As the bill heads to President Trump’s desk, its ultimate impact on online safety and freedom of expression remains to be seen.

  • # “İndir Onu Yasası” Trump’ın Masasında: Derin Sahtecilik ve İfade Özgürlüğü Arasında Kalan Kutuplaşma

    ## “İndir Onu Yasası” Trump’ın Masasında: Derin Sahtecilik ve İfade Özgürlüğü Arasında Kalan Kutuplaşma

    ABD Temsilciler Meclisi’nde 409’a 2 gibi ezici bir çoğunlukla kabul edilen “İndir Onu Yasası” (Take It Down Act), onay için Başkan Donald Trump’ın masasına gitti. Yasa, sosyal medya şirketlerine rıza dışı (yapay zeka ile üretilmiş olanlar da dahil) cinsel içerikli görselleri işaretlendikten sonra 48 saat içinde kaldırma zorunluluğu getiriyor. Trump’ın yasayı imzalayacağına dair söz vermesi, yasanın yürürlüğe girmesinin önünü açıyor.

    Derin sahtecilikler, çocuk güvenliği ve diğer hassas konular etrafında yıllardır süren tartışmaların ardından, bu yasa her iki meclisten de geçmeyi başaran nadir online güvenlik düzenlemelerinden biri. Ancak eleştirmenler, yasanın yönetim veya müttefiklerinin hoşlanmadığı içeriklere karşı bir silah olarak kullanılabileceği endişesini taşıyor.

    Yasa, rıza dışı mahrem görüntülerin (gerçek veya bilgisayar ürünü fark etmeksizin) yayınlanmasını suç haline getiriyor. Trump, Kongre’deki konuşmasında yasayı imzaladıktan sonra, “Kimse benden daha kötü muamele görmediği için, sakıncası yoksa bu yasayı kendim için de kullanacağım,” şeklinde esprili bir yorum yapmıştı.

    Yapay zeka araçlarının yaygınlaşmasıyla, gerçekçi görünen görüntüleri üretmek hiç olmadığı kadar kolaylaştı. Bu durum, okullarda yayılan derin sahte ve zarar verici içeriklerle ilgili endişeleri artırarak, yeni bir zorbalık ve kötüye kullanım alanı yarattı. Eleştirmenler bu konunun ele alınmasının önemli olduğunu kabul etse de, “İndir Onu Yasası” yaklaşımının başka şekillerde zarar vermek için kullanılabileceği konusunda endişeli.

    Görüntü bazlı cinsel istismarla mücadele etmek için kurulan Siber Medeni Haklar Girişimi (CCRI), “İndir Onu Yasası”nın geçişini coşkuyla karşılayamadıklarını belirtiyor. Grup, “Uzun zamandır gecikmiş olan rıza dışı mahrem görüntülerin federal olarak suç sayılmasını memnuniyetle karşılarken, kötüye kullanıma son derece açık ve mağdurlar için büyük olasılıkla ters tepecek bir kaldırma hükmüyle birleştirilmesinden üzüntü duyuyoruz,” şeklinde açıklama yapıyor.

    CCRI, yasanın, Trump tarafından görevden alınan Demokratik azınlık komisyon üyeleri olan Federal Ticaret Komisyonu (FTC)’nu yetkilendirmesinden endişe ediyor. FTC’nin seçici bir şekilde uygulanabileceği ve sonuç olarak yalnızca “vicdansız platformları” destekleyebileceği korkusu yaygın.

    Elektronik Sınır Vakfı (EFF) ise, platformların rıza dışı mahrem görüntü olarak işaretlenen içeriği kaldırması için kısa bir süre verilmesinin, özellikle küçük platformların yasal riskten kaçınmak için iddiaları doğrulayamadan hızlı bir şekilde uyum sağlamak zorunda kalacağına dikkat çekiyor. EFF, bu durumun, platformları kusurlu filtrelere yöneltebileceği uyarısında bulunuyor. Ayrıca, uçtan uca şifrelenmiş hizmetlerin de yasadan muaf tutulmadığına ve bunun da gizlilik teknolojisi için bir risk oluşturduğuna işaret ediyor.

    Tüm eleştirilere rağmen, “İndir Onu Yasası” geniş bir destek tabanı kazandı. First Lady Melania Trump yasanın önde gelen savunucusu olurken, ebeveyn ve gençlik savunucuları ile teknoloji sektöründen bazıları da yasaya destek verdi. Google’ın küresel ilişkiler başkanı Kent Walker, yasanın geçişini “bireyleri rıza dışı açık görüntülerden korumaya yönelik büyük bir adım” olarak nitelendirirken, Snap de oylamayı memnuniyetle karşıladı.