Dün Yandex.com.tr, Paypal.com.tr, Microsoft.com.tr, Gmail.com.tr ve diğerleri hacklendi

Yandex.com.tr, Paypal.com.tr, Microsoft.com.tr gibi birçok önemli şirketin .com.tr alan adının saldırıya uğradığı ve ana sayfalarının yukarıda ekran görüntüsünü paylaştığımız şekilde olduğu bilgisini aldık.

Sitelerin yönlendirildiği sayfalardan hackleyen grubun F0RTYS3V3N olduğunu görüyoruz.

Yandex.com.tr, Paypal.com.tr, Microsoft.com.tr, Gmail.com.tr alan adlarının yanı sıra Hotmail.com,tr ve CocaCola.com.tr alan adlarının da hacklendiği bilgisini aldık.

[HABER GÜNCELLENDİ] Konuyla ilgili birçok güncelleme girişi yaptık. Yazının devamında tüm güncellemeleri okuyabilirsiniz.

GÜNCELLEME: Alan adlarının hacklenmesinin nic.tr temelli bir teknik açıktan kaynaklandığı tahmin ediliyor. Hacklenen sitelerinin NS kayıtları değiştirilerek söz konusu şirketlerin web siteleri Freehostia.com kayıtlarına yönlendirilmiş. Söz konusu NS değişikliği ile ilgili gmail.com.tr ve yandex.com.tr alan adları için almış olduğumuz WHOIS ekran görüntüleri aşağıdaki gibidir.

GÜNCELLEME 2: Konuyla ilgili Yandex.com.tr hariç bu olaya konu olan birçok alan adının DNS yönetimini gerçekleştiren Beriltech‘in kurucusu Devrim Demirel’le görüştüm. Söz konusu hack olayının detaylarını kendi tahminlerine dayanarak bizlerle paylaştı.

Aldığımız bilgiye göre, hacklenen sitelerin .com.tr alan adlarının nic.tr’den kaynaklandığı tahmin edilen bir açıktan faydalanılarak, teknik sorumlu kişilerinin değiştirildiği ve bu şekilde DNS kayıtlarının güncellendiği bilgisini aldık.

Devrim Demirel’in tespitine göre Google.com.tr’de de aynı yetki değişikliği yapılmasına rağmen, DNS değişikliği yapılmamış.

GÜNCELLEME 3: nic.tr yönetimini sürdüren ODTÜ’de an itibariyle tüm kadrosunun aktif olarak çalışmalarını sürdürdüğünü öğrendik.

GÜNCELLEME 4: Hack olayını gerçekleştiren F0RTYS3V3N isimli grubun Twitter hesabı Emrullah Akdemir ismiyle kullanılıyor. Twitter hesabından bugün saat 15:03′te “Bugün çok eğleneceğiz çooooooooook….” yazdığı görülüyor.

GÜNCELLEME 5: Akşam 21:00 civarında paypal.com.tr ve coca-cola.com.tr siteleri normal yayınına başladı. Microsoft.com.tr, yandex.com.tr  ve hotmail.com.tr gibi bazı sayfaların da yayını askıya aldığı görülüyor.

GÜNCELLEME 6: Yandex.com.tr 21:40 civarında olağan yayınına yeniden başladı.

GÜNCELLEME 7: Konuyla ilgili Yandex.Türkiye açıklama gönderdi, aşağıda paylaşıyoruz.

4 Mayıs Cuma günü, yaklaşık olarak saat 18:00′de, com.tr uzantısıyla biten alan adlarının kayıt işlemlerinden sorumlu kuruma ait sunucular, kimliği belirsiz kişilerce saldırıya uğramıştır. Saldırı sonucunda, yandex.com.tr dahil olmak üzere com.tr uzantısına sahip birçok popüler web sitesinin alan adı kayıtları değiştirilmiş ve söz konusu sitelere ulaşmak isteyen kullanıcılar, saldırıyı düzenleyen kişilerin sayfalarına yönlendirilmiştir. Konu tarafımızdan derhal incelemeye alınmış ve alan adı kayıtları, ilgili kurum tarafından yaklaşık olarak saat 20:00′de düzeltilerek sorun giderilmiştir. An itibarıyla yandex.com.tr ve diğer tüm Yandex servisleri sorunsuz olarak çalışmaya devam etmektedir.

Özellikle dikkat çekmek isteriz ki; Yandex sunucularına yapılmış bir saldırı söz konusu değildir ve hiçbir Yandex servisi zarar görmemiştir.

Gelecekte benzer durumların oluşmaması adına gerekli önlemleri alıyor olduğumuzu bildiririz.

Saygılarımızla,
Yandex.Türkiye Ekibi

Konuyla ilgili yeni açıklamalar gelirse bu haberde güncelleme olarak paylaşacağız.