Saldırının merkezinde, bu uygulamalara bildirim göndermek için kullanılan OneSignal adlı hizmetin API anahtarlarının siber saldırganlar tarafından ele geçirilmesi yatıyor. Siber güvenlik uzmanları, uygulamaların kodlarının içine sabitlenmiş ve yeterince korunmamış bu anahtarların, saldırganlar tarafından tersine kodlama yöntemiyle kolayca bulunabildiğini belirtti. Bu açık, saldırganların yetkisiz biçimde uygulamalardan bildirim göndermesine olanak sağladı.
Anadolu Sigorta ve PTT, her iki olayın ardından yaptıkları açıklamalarda, herhangi bir veri sızıntısı yaşanmadığını duyurdu. Anadolu Sigorta, bildirimin yetkisiz erişimle gönderildiğini ve uygulamanın kısa süreliğine kapatılarak güvenlik kontrolleri sonrası yeniden kullanıma açıldığını belirtti. PTT ise kullanıcılarına gönderilen tehdit içerikli bildirimlerin şirketle ilgisi olmadığını açıkladı.
Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) bağlı Ulusal Siber Olaylara Müdahale Merkezi (USOM) ise yaptığı açıklamada, sorunun OneSignal hizmetine ait API anahtarlarının siber saldırganların eline geçmesinden kaynaklandığını doğruladı. USOM, OneSignal kullanan diğer kurumları da güvenlik açıklarını kapatmaları için uyardı.
BBC Türkçe’de yer alan habere göre, siber güvenlik uzmanları, bu saldırıların yalnızca bildirim gönderme hizmetine erişim sağladığını ve kullanıcıların kişisel verilerinin tehlikede olmadığını belirtti. ThreatMon Baş Teknoloji Sorumlusu Gökhan Yüceler, “OneSignal üzerinde kişisel veri bulunmuyor. Veriler kurumların veri tabanlarında kalıyor,” dedi. Kredi kartı, araç plakası veya sigorta bilgileri gibi hassas bilgilere erişim sağlanmadığı açıklandı.
Siber güvenlik uzmanı Ayşe Aktağ, API anahtarlarının yazılım dosyalarının içinde şifrelenmeden saklanmasının ciddi bir güvenlik zafiyeti olduğunu ve bunun, yazılım ekiplerinin temel bir hatası olduğunu ifade etti.
Kıdemli Siber Güvenlik Uzmanı Onur Oktay, bu tür saldırıların ardından sektör genelinde yoğun bir güvenlik taraması başladığını, birçok kurumun kendi sistemlerini kontrol altına aldığını belirtti.