Comnet den veri sızıntısı iddiası...

Comnet, ülkemizde Türk Telekom altyapısından İnternet hizmeti veren çok sayıda sağlayıcılardan biridir. Aynı zamanda İstanbul ve Londra'da veri merkezleri falan var biliyorsunuz işte bu foruma da haklarında şikayet atılıyor zaman zaman. Bazen hattınızı kapatmasıyla da meşhurdur  

bkz: https://forum.donanimhaber.com/comnet-adli-iss-yi-sikayet-ediyoruz--153476118

Bugün bilindik veri sızıntısı forumlarından birinde şöyle bir başlık ile karşılaştım:

Forum kurallarından emin olmadığım için doğrudan sızıntıya link vermeyeceğim. Başlığı tartışma/haber amacıyla açtım zaten ben comnet kullanmıyom.

Sızıntıyı paylaşan kişinin paylaştığı Türkçe açıklama ise şu şekilde;

"VPN gibi kullanabilirsiniz" den kastı PPPoE kullanıcı adı/şifre bilgilerinin de bu sızıntının içinde olması. Biliyorsunuz, ve bazılarınız da bunu ara ara test amaçlı yapmıştır ki, alternatif operatörlerin PPPoE bilgileri ile telekomun altyapısında her yerde internete bağlanabiliyorsunuz. Telekomun kendi pppoe bilgileri ise sadece o portta çalışıyor. Neden böyle bir fark var çözebilmiş değilim tabi.

Paylaştığı sample data'da 4721 kullanıcıya ait isim, soyisim, telefon numarası, PPPoE kullanıcı adı ve şifreleri, hizmet numaraları, müşterilerin il/ilçe bilgilerinin, doğum tarihlerinin ve CGNAT IP'lerinin olduğunu kendim inceleyerek doğruladım. ayrıca sql dosyasında yazana göre veriler 2023-09-12 13:35:44 tarihinde çekilmiş.

Toplam 16 bin kişinin verisinin elinde bu şekilde olduğunu söyleyen saldırgan, verileri satmak istiyor.

Geçmiş olsun diyelim...

Firmadan bir açıklama gelirse konuya mutlaka eklerim.

Edit:

Bir Comnet abonesinin konuyla ilgili açtığı destek kaydına comnet yetkilisinin cevabı şu şekilde;

Edit 2:

Arkadaşlar comnet paneline pppoe şifresi değiştirme eklenmiş sanırım, leakı açıp kendiniz falan bakmayın boşuna gerek yok, olsanız da olmasanız da gidin önlem amaçlı değiştirin şifre mifre ne varsa.

Edit 3:

Firmadan yapılan açıklama şu şekilde

Edit 4:

Hacker'ın ilgili forumdaki konusu yanlış kategoriye konu açtığı için kaldırılmış.. donanımhaber adminleriyle bir akrabalıkları var mı acaba  

Fakat arkadaş github'a "Şirketin inkarından sonra rastgele 20 kişinin kredi kartı bilgileri" şeklinde önce 10, sonrasında 10 tane daha, toplam 20 adet kredi kartı numarası yükledi. Bu bilgilerin direkt comnet'ten edinilip edinilmediği kesin değil tabii. Fakat commit geçmişindeki değişikliklerden birinde numaralardan birinin sadece son kullanma tarihini düzeltiyor(edit 5'teki gibi repoyu silip tekrar açtığı için linkler bir yere gitmiyor artık maalesef). Sonra hepsini kaldırıyor, 10 tane geri koyuyor, sonra onları da silip toplam 20 tane geri koyuyor. Bütün commitlerdeki kart numaraları liste yapıp toplandığında elde paylaşılan toplam 40 adet kredi kartı numarası koyulmuş. Elinde toplu data varsa niye eliyle yazıp sonra böyle bir düzeltme yapıyor diye düşündürmedi değil...

En sonda da "ve bu arada unutmadan Merhaba!" yazmış.

Edit 5:

Edit 4'ü yazmak için github'da geçmişi incelerken biraz önce bütün github sayfasının silindiğine şahit oldum.

Edit 6:

Yanlış alarm, yeni sayfa açtı tekrardan geri yükledi dosyaları da... Bizden kaçmaz ama olsun canın sağolsun paşam...

dipnot: artık her şey ayyuka çıktığı için açıkça paylaşıyorum linkleri minkleri...

Ve eklemiş;

Edit 7:

tekrardan kredi kartı numaraları ekledi. Önceki numaralardan farklı. Toplam paylaştığı bağımsız kart no sayısı 60 oldu, türkiyedeki kartlar mı kontrol etmedim üşeniyorum.

Dipnot: random bi bin checker sitesinden kontrol ettim(bin = bank identification number, ilk 8 hane bankayı belirtir), fakat sadece en son paylaştığı kart numaraları türk bankalara ait çıktı, öncesinde eklediği sildiği kart numaralarından sadece biri türk gerisi abidik gubidik yerler. fakat bu BIN numaralarını genelde bankalar birbirleri arasında da paylaştığı için gelip de "kartların üçte ikisi yurtdışı kartı ehehe" demem doğru olmaz.

bence kart bilgileri mevzusu kolpa gibi duruyor biraz.

Edit 8:

Github sayfası bu sefer Github tarafından kapatıldı.

Final edit:

Bir kaç şeyi eklemek isterim;

1) özelden bana link sormayın, bende yok, atacak olsam ben de internette arayıp sana atmış olacağım, yani sen de arayıp bulabilirsin.

2) olayı takip etmeyi bıraktım, çünkü cumnet kullanmıyorum. ek bir açıklama veya fazladan bir durum ortaya çıkarsa kendi aranızda yazarsınız veya etiket atarsanız önemliyse de ana konuya eklerim.

3) önlem olarak önerilerim; pppoe değişin yeterli, açıkcası kart olayının yalan olduğunu düşünüyorum, sabit ip kullanıyorsanız kullanmayın mümkünse. web sayfası falan hostluyorsanız cloudflare tunnels'a ve/veya cloudflare zero trust'a(warp clientından login yaptıktan sonra bağlandığınızda dahili iplerden uygulamaları yönlendirebiliyorsunuz vs.) bakabilirsiniz(ücretsiz fakat domain'iniz olması lazım). veya istanbul'da relay serverları olmadığı için biraz yavaş olabilir ama tailscale'a da bakabilirsiniz.

4) cumnet kullanmayın 

bu işler böyle hocam, amaç mümkün olduğunca işin legal kısımdan sıyrılabilmek... Geçmiş olsun

Geçen ay abone olduk. Bizim bilgiler listede yok. Sanırım sızıntı daha önce oldu ama daha yeni ortaya çıkmış.

Adamlar çoşturmuş.

Ben ilk sıradayım delircem telefonuma onay kodları geliyor.

Birader kambersiz düğün olmaz böyle konulara etiketleyin, elimi tam çekiyorum dünyanın en iyi firmasından bir şeyleri patlıyor :D

Yıllar önce bana yurt dışı çıkışları en iyi ve sorunsuz derken bunu kasdediyormuş, anlamamışız :D

Normal şartlarda üzülürdüm de inanın üzülmedim, şimdi de kullanmasam bile şikayeti oluşturmaya gidiyorum.

iyide orada paylaşılan dışında adam ne demiş

comnet kullanan kişilerin kvkk ihlali nedeniyle firmayı şikayet edeceklerini sanmıyorum, kendine saygısı olan insan comnet kullanmaz zaten.

Ben ettim amacım şikayet etmek değil kendimi sağlama almak yarın bir gün bir şey olursa. Şaka değil telefonuma bir sürü onay kodları geldi. Şimdi sustu ama elimde kanıtım olması lazım.

Bende yokum listede. Yeni abone oldum belki ondandır.