ShinyHunters
ShinyHunters, 2020 yılında dünya çapındaki şirketlerden milyonlarca kullanıcı kaydını sızdırıp satarak öne çıkan, veri hırsızlığı ve ihlali odaklı kötü şöhretli bir gruptur.
ShinyHunters'ın Kökeni
Fidye yazılım gruplarının aksine ShinyHunters sistemleri şifrelemiyor. Bunun yerine, operasyonları ağları ihlal etmeye, verileri çalmaya ve yeraltı forumları veya Telegram kanalları aracılığıyla bunlardan para kazanmaya odaklanıyor. Microsoft'un GitHub depoları, Tokopedia, Tokopedia, Bonobos ve düzinelerce küçük kuruluştan yüksek profilli sızıntılarla bağlantılıdırlar.
Grup, on milyonlarca kayıt içeren veri tabanlarının düzenli olarak yeraltı pazarlarında göründüğü yüksek hacimli ihlallerle tanınıyor. ShinyHunters'ın operasyonel tarzı finansal gasp, marka hasarı ve itibar inşasınıharmanlıyor ve bu da onları birden fazla sektördeki işletmeler için kalıcı bir tehdit haline getiriyor.
Ağustos 2025'te, ShinyHunters aşağıdaki şirketlerle operasyonel bir ortaklığa girdi LAPSUS$ ve Scattered SpiderLAPSUS$ Hunters adlı gaspçı kolektifini oluşturdu. Bu ittifakta ShinyHunters, LAPSUS$'ın kamuya açık gösteri odaklı gasp modelini ve Scattered Spider'ın sofistike sosyal mühendislik ve SaaS izinsiz giriş becerilerini tamamlayan devasa çalıntı veritabanları ve ihlal altyapısından oluşan bir boru hattı sağlıyor. Bu işbirliği, ShinyHunters'ın etkisini yeraltı pazarlarının ötesine taşıyarak ana akım medyanın ilgi odağı haline getiriyor ve para kazanmayı hızlandırırken fidye baskısını ve itibar hasarını artırmalarına olanak tanıyor.
ShinyHunters tarafından hedef alınan ülkeler
Küresel, her yerde kurbanları var:
- Birleşik Devletler
- Hindistan & Güneydoğu Asya
- Avrupa (Fransa, Almanya, İngiltere)
- Latin Amerika
ShinyHunters tarafından hedeflenen sektörler
ShinyHunters'ın ihlalleri geniş bir yelpazeye yayılıyor ve genellikle veri açısından zengin sektörlere odaklanıyor:
- Perakende ve e-ticaret (Tokopedia, Wattpad, Bonobos)
- Teknoloji & SaaS (Microsoft GitHub depoları)
- Finansal hizmetler (çeşitli fintech ve bankacılıkla ilgili veritabanları)
- Yiyecek ve İçecek (eve teslimat platformları, restoran uygulamaları)
- PII açısından zengin veri kümelerine sahip sağlık ve tüketici platformları
Bilinen Kurbanlar
- GitHub: Çalınan kaynak kodu depoları
- Tokopedia: 91 milyon kullanıcı kaydı sızdırıldı
- Wattpad: 270 milyon kayıt çalındı ve sızdırıldı
- Bonobos: 7 milyon müşteri kaydı çevrimiçi satıldı
- Dünya çapında çok sayıda yemek dağıtım ve e-ticaret platformu
ShinyHunters'ın Saldırı Yöntemi
Yanlış yapılandırılmış uygulamalardan, zayıf kimlik bilgilerinden yararlanır veya dark web brokerları aracılığıyla erişim elde eder.
Web uygulamaları ve veritabanlarındaki kamuya açık açıkları veya yanlış yapılandırmaları kullanır.
Genellikle meşru trafiğin arasına karışarak veya zayıf bulut güvenliğinden yararlanarak gizliliğe güvenir.
GitHub, bulut depolama ve dahili veritabanlarını hedefler; kullanıcı kimlik bilgilerini toplar.
Erişilebilir veritabanlarını ve dahili depoları haritalandırır.
Web uygulamalarından arka uç veritabanlarına ve kod depolarına erişimi genişletir.
PII, finansal bilgiler ve kaynak kodu içeren büyük ölçekli veri kümelerini dışarı sızdırır.
Veri hırsızlığını en üst düzeye çıkarmak için basit veri çıkarma komut dosyalarını ve otomatik tarayıcıları yürütür.
Çalınan veri kümelerini yeraltı forumlarına ve Telegram kanallarına aktarır.
Kitlesel sızıntılar, gasp girişimleri ve veri dökümlerinin satışı yoluyla itibar kaybına neden olur.
Yanlış yapılandırılmış uygulamalardan, zayıf kimlik bilgilerinden yararlanır veya dark web brokerları aracılığıyla erişim elde eder.
Web uygulamaları ve veritabanlarındaki kamuya açık açıkları veya yanlış yapılandırmaları kullanır.
Genellikle meşru trafiğin arasına karışarak veya zayıf bulut güvenliğinden yararlanarak gizliliğe güvenir.
GitHub, bulut depolama ve dahili veritabanlarını hedefler; kullanıcı kimlik bilgilerini toplar.
Erişilebilir veritabanlarını ve dahili depoları haritalandırır.
Web uygulamalarından arka uç veritabanlarına ve kod depolarına erişimi genişletir.
PII, finansal bilgiler ve kaynak kodu içeren büyük ölçekli veri kümelerini dışarı sızdırır.
Veri hırsızlığını en üst düzeye çıkarmak için basit veri çıkarma komut dosyalarını ve otomatik tarayıcıları yürütür.
Çalınan veri kümelerini yeraltı forumlarına ve Telegram kanallarına aktarır.
Kitlesel sızıntılar, gasp girişimleri ve veri dökümlerinin satışı yoluyla itibar kaybına neden olur.
ShinyHunters Tarafından Kullanılan TTP'ler
Vectra AI ile ShinyHunters Nasıl Tespit Edilir
Sıkça Sorulan Sorular
ShinyHunters fidye yazılımı dağıtıyor mu?
Birçok e-Suç grubunun aksine, dosya şifrelemeye değil, yalnızca veri hırsızlığı ve sızıntılarına odaklanırlar.
ShinyHunters nasıl para kazanıyor?
Çalınan veri tabanlarını yeraltı forumlarında ve Telegram kanallarında satarak ya da şirketlerden haraç alarak.
Ne tür veriler çalıyorlar?
Öncelikle PII, oturum açma kimlik bilgileri, finansal veriler ve kaynak kodu havuzları.
İhlalleri hedefli mi yoksa fırsatçı mı?
Çoğunlukla fırsatçıdır, maksimum veri hacmi için savunmasız veya zayıf güvenlikli sistemlerden yararlanır.
İçeriden birileriyle mi çalışıyorlar?
LAPSUS$'ın aksine, içeriden işe alımlara dair daha az kanıt vardır; daha çok teknik ihlallere dayanmaktadırlar.
Diğer gruplarla ilişkileri nedir?
Şimdi "Scattered LAPSUS$ Hunters" markası altında LAPSUS$ ve Sc attered Scattered Spider ile ortaklık kurdular. Ayrıca Qilin ve DragonForce hakkında da bilgi veriyorlar, bu da muhtemelen artık bu gruplarla aralarının iyi olmadığını gösteriyor.
Kuruluşlar bunların varlığını nasıl tespit edebilir?
Anormal veritabanı sorgularını, GitHub erişimini ve büyük ölçekli veri sızıntısı olaylarını izleyerek. Gibi araçlar Vectra AI bu davranışları erkenden tespit edebilir.
En çok hangi sektörler risk altında?
Özellikle perakende, SaaS ve finansal hizmetler gibi büyük tüketici veri kümelerine sahip tüm kuruluşlar.
Sızıntıları ne kadar zarar verici?
Çok büyük bir kısmı on ya da yüz milyonlarca kayıt içermekte ve kimlik hırsızlığına, kimlik bilgilerinin çalınmasına ve itibar kaybına yol açmaktadır.
En iyi savunma stratejisi nedir?
Güçlü kimlik güvenliği uygulamalarını benimseyin, açığa çıkan kimlik bilgileri için havuzları izleyin ve dağıtın Vectra AI Hibrit ve bulut ortamlarında anormal sızıntıları ve kimlik bilgilerinin kötüye kullanımını tespit etmek için.