Yandex.com.tr, Paypal.com.tr, Microsoft.com.tr gibi birçok önemli şirketin .com.tr alan adının saldırıya uğradığı ve ana sayfalarının yukarıda ekrangörüntüsünü paylaştığımız şekilde olduğu bilgisini aldık.
Sitelerin yönlendirildiği sayfalardan hackleyen kullanıcının F0RTYS3V3N olduğunu görüyoruz.
Yandex.com.tr, Paypal.com.tr, Microsoft.com.tr, Gmail.com.tr alan adlarının yanı sıra Hotmail.com,tr ve CocaCola.com.tr alan adlarının da hacklendiği bilgisini aldık.
Konuyla ilgili birçok güncelleme girişi yaptık. Yazının devamında tüm güncellemeleri okuyabilirsiniz.
GÜNCELLEME: Alan adlarının hacklenmesinin nic.tr temelli bir teknik açıktan kaynaklandığı tahmin ediliyor. Hacklenen sitelerinin NS kayıtları değiştirilerek söz konusu şirketlerin web siteleri Freehostia.com kayıtlarına yönlendirilmiş. Söz konusu NS değişikliği ile ilgili gmail.com.tr ve yandex.com.tr alan adları için almış olduğumuz WHOIS ekran görüntüleri aşağıdaki gibidir.
GÜNCELLEME 2: Konuyla ilgili Yandex.com.tr hariç bu olaya konu olan birçok alan adının DNS yönetimini gerçekleştiren Beriltech'in kurucusu Devrim Demirel'le görüştüm. Söz konusu hack olayının detaylarını kendi tahminlerine dayanarak bizlerle paylaştı.
Aldığımız bilgiye göre, hacklenen sitelerin .com.tr alan adlarının nic.tr'den kaynaklandığı tahmin edilen bir açıktan faydalanılarak, teknik sorumlu kişilerinin değiştirildiği ve bu şekilde DNS kayıtlarının güncellendiği bilgisini aldık.
Devrim Demirel'in tespitine göre Google.com.tr'de de aynı yetki değişikliği yapılmasına rağmen, DNS değişikliği yapılmamış.
GÜNCELLEME 3: nic.tr yönetimini sürdüren ODTÜ'de an itibariyle tüm kadrosunun aktif olarak çalışmalarını sürdürdüğünü öğrendik.
GÜNCELLEME 4: Hack olayını gerçekleştiren F0RTYS3V3N isimli grubun Twitter hesabı Emrullah Akdemir ismiyle kullanılıyor. Twitter hesabından bugün saat 15:03'te "Bugün çok eğleneceğiz çooooooooook...." yazdığı görülüyor.
GÜNCELLEME 5: Akşam 21:00 civarında paypal.com.tr ve coca-cola.com.tr siteleri normal yayınına başladı. Microsoft.com.tr, yandex.com.tr ve hotmail.com.tr gibi bazı sayfaların da yayını askıya aldığı görülüyor.
GÜNCELLEME 6: Yandex.com.tr 21:40 civarında olağan yayınına yeniden başladı.
GÜNCELLEME 7: Konuyla ilgili Yandex.Türkiye açıklama gönderdi, aşağıda paylaşıyoruz.
4 Mayıs Cuma günü, yaklaşık olarak saat 18:00'de, com.tr uzantısıyla biten alan adlarının kayıt işlemlerinden sorumlu kuruma ait sunucular, kimliği belirsiz kişilerce saldırıya uğramıştır. Saldırı sonucunda, yandex.com.tr dahil olmak üzere com.tr uzantısına sahip birçok popüler web sitesinin alan adı kayıtları değiştirilmiş ve söz konusu sitelere ulaşmak isteyen kullanıcılar, saldırıyı düzenleyen kişilerin sayfalarına yönlendirilmiştir. Konu tarafımızdan derhal incelemeye alınmış ve alan adı kayıtları, ilgili kurum tarafından yaklaşık olarak saat 20:00'de düzeltilerek sorun giderilmiştir. An itibarıyla yandex.com.tr ve diğer tüm Yandex servisleri sorunsuz olarak çalışmaya devam etmektedir.
Özellikle dikkat çekmek isteriz ki; Yandex sunucularına yapılmış bir saldırı söz konusu değildir ve hiçbir Yandex servisi zarar görmemiştir.
Gelecekte benzer durumların oluşmaması adına gerekli önlemleri alıyor olduğumuzu bildiririz.
Saygılarımızla, Yandex.Türkiye Ekibi
GÜNCELLEME 8: Biraz önce Paypal Türkiye'den de söz konusu saldırı ile ilgili bir cevap aldık. Aynen paylaşıyoruz.
Bilginiz olduğu üzere 4 Mayıs tarihinde Türkiye alan adı kayıt işlemlerinden sorumlu sunucuları saldırıya uğraması nedeni ile PayPal Türkiye kullanıcıları için yönlendirme sayfası olan "paypal.com.tr" adresimizden sistemimize erişilememiştir. Saldırganlar bir çok websitesinin DNS ayarlarını değiştirmiş ve com.tr uzantılı sayfaları kendi sitelerine yönlendirmişlerdir.
Saat 18 itibariyle meydana gelen saldırıyı PayPal güvenlik ekipleri derhal tespit etmiş ve saat 19:30 sularında bu yasadışı yönlendirmeyi etkisiz hale getirmişlerdir.
5 Mayıs 2012 saat 1:00 itibari ile .com.tr sayfası PayPal'ın asli sunucularına yeniden yönlendirilmiş ve sorun çözümlenmiştir.
Saldırının PayPal'ın kendi altyapısını hedef almadığını, dolayısıyla bu süreçte PayPal kullanıcılarının hiçbirisinin herhangi bir zarar görmediğini ve PayPal kullanıcılarının verilerinin güvenliği ile ilgili herhangi bir risk yaşanmadığını özellilkle bildirmek isteriz.
PayPal kurulduğu günden bugüne 13 senedir kullanıcıların finansal bilgilerini dünyanın en gelişmiş koruma ve hile önleme yöntemleriyle saklamakta ve kullanıcılarımıza hizmet vermeye devam etmektedir.
GÜNCELLEME 9: Cyber-Warrior/Akıncılar grubu, .tr uzantılı sitelerin hacklenmesi haberi hakkında Webrazzi'ye bir açıklama gönderdi. Aynen paylaşıyoruz:
Internet basınında ve sosyal medya sitelerinde bazı "com.tr" alan adlarına yönelik bir eylem yapıldığı yönünde haberler yer almaktadır. Bu durum bir üye tarafından kişisel olarak yapılmış bir eylem olup, Grubumuz; bilgi ve misyonu dışındaki bu eylemi kesinlikle tasvip etmemektedir. Bu sebeple ilgili kullanıcının üyeliğine son verilmiştir. Grubumuz hiçbir şekilde Türk sitelerine karşı olumsuz bir eylemi kabul etmemektedir.
Konuyla ilgili yeni açıklamalar gelirse bu haberde güncelleme olarak paylaşacağız.