Teknoloji devi Oracle’ın kurumsal omurgası PeopleSoft çöktü ve siber dünyanın en acımasız şantaj çetelerinden ShinyHunters, dünya genelinde 100’den fazla dev organizasyonu ve sayısız üniversite kampüsünü rehin aldı. Google Mandiant ve TrendAI güvenlik analistlerinin acil koduyla yayınladığı raporlar, siber güvenlik otoritesi CISA'nın dün gece yarısı bu açığı "En Tehlikeli Aktif Tehditler" listesine eklemesiyle resmiyet kazandı. Karşımızda duran fatura ağır: Kimlik doğrulamaya bile gerek duymadan çalışan gizemli bir kod zinciri, 40 gigabayttan fazla öğrenci finans verisi ve dijital panik odasına kilitlenmiş yüzlerce sistem yöneticisi.

Environment Management Kapısı Nasıl Açık Unutuldu?

Her şey, Oracle’ın kurumsal kaynak planlama (ERP) yazılımı olan ve dünya genelindeki üniversitelerin, hastanelerin ve devlet kurumlarının neredeyse tüm finansal akışını, öğrenci kayıtlarını ve personel verilerini yöneten PeopleSoft platformunun derinliklerinde başladı. Güvenlik dünyasının CVE-2026-35273 olarak adlandırdığı bu ölümcül hata, sistemin arkasında çalışan ve tüm ağ ajanlarını koordine eden "Environment Management Hub" (PSEMHUB) bileşeninde keşfedildi. Açığın kritiklik skoru 10 üzerinden tam 9.8. Bu ne anlama geliyor? Bir hackerın içeri sızması, sistem yöneticisi paneline ulaşması veya verileri indirmesi için hiçbir kullanıcı adına, şifreye ya da karmaşık oltalama (phishing) saldırısına ihtiyacı yoktu. Kapı sadece internete açıktı ve kilidi yoktu. ShinyHunters, 27 Mayıs ile 9 Haziran tarihleri arasında, Oracle durumun farkına bile varmadan bu "açık kapıyı" kullanarak küresel bir operasyon başlattı. İnternete doğrudan açık olan PeopleSoft sunucularına uzaktan kod çalıştırma (RCE) komutları gönderen grup, sistemlerin kontrolünü tamamen ele geçirdi.

Kurbanlar Kim? Yüksek Öğrenimde Büyük Şok

Google’ın tehdit istihbarat grubu (GTIG), saldırıdan potansiyel olarak etkilenen veya açığa maruz kalan 100’den fazla küresel kuruluşu tek tek uyardıklarını açıkladı. Ancak trajik olan şu ki, bu hedeflerin %68'i yüksek öğrenim sektörüne, yani dünyanın en prestijli üniversitelerine aitti. İngiltere'nin köklü eğitim kurumlarından Nottingham Üniversitesi, sistemlerinden "devasa miktarda öğrenci kayıt verisinin" çalındığını resmen itiraf ederek siber saldırının kurbanı olduğunu doğruladı. ShinyHunters ise kendi karanlık web sitesinde (DLS) adeta bir gövde gösterisi yaparak, sadece Nottingham Üniversitesi'ne ait 40 GB’ın üzerinde hassas finansal dökümü, kredi kartı detaylarını, kampüs portal ihracatlarını ve öğrenci borç listelerini sızdırdığını ilan etti. Liste her saat başı güncelleniyor ve listede adı henüz açıklanmayan düzinelerce Amerikan üniversitesi, şantaj çetesinin fidye talepleriyle baş başa kalmış durumda.

Hackerların Kendi Ayaklarına Sıktığı "Aptalca" Hata

Ancak bu kusursuz gibi görünen siber soygun hikayesinde, siber güvenlik ekiplerine harika bir ipucu veren trajikomik bir hata yaşandı. ShinyHunters, operasyonu o kadar büyük bir aceleyle ve o kadar özgüvenle yürüttü ki, operasyon sırasında kullandıkları bazı hack araçlarını ve sunucu dizinlerini internet tarayıcılarına tamamen açık (exposed) unuttular. Sosyal medyada siber casusluk üzerine analizler yapan araştırmacıların bu açık dizinleri fark etmesiyle, siber korsanların tüm stratejisi, kullandıkları IP adresleri ve sisteme bıraktıkları "uzaktan erişim araçlarının" (stealth remote access tools) ayak izleri saniyeler içinde deşifre edildi. TrendAI ekibi bu verileri kullanarak hemen Oracle'a başvurdu ve Oracle, 10 Haziran günü apar topar "Acil Güvenlik Uyarısı" yayınlayarak yamayı müşterilerine sundu. Ancak siber korsanlar için iki haftalık süre, içerideki tüm ganimeti çalmak için fazlasıyla yeterli olmuştu. Bu kriz, kurumsal dünyaya çok acı bir gerçeği tekrar hatırlattı: Sadece güçlü şifreler kullanmak veya şirket kapısına dijital bir güvenlik duvarı (IdP/Firewall) dikmek artık sizi korumaya yetmiyor. Altyapınızın kendi iç kütüphanelerinde (omurgasında) bir Sıfırıncı Gün açığı varsa, sisteminiz içeriden çökmeye mahkumdur. Şu an Oracle PeopleSoft kullanan tüm kurumların sistem yöneticilerine tek bir acil çağrı yapılıyor: Uykuyu bırakın, hemen bu sabah sistemlerinizi en son desteklenen sürümlere (PeopleTools 8.61/8.62 yama seviyelerine) güncelleyin. Eğer eski ve desteği bitmiş bir sürüm kullanıyorsanız, yama bile alamayabilirsiniz; bu durumda tek çareniz sisteminizi internet erişimine tamamen kapatmak. Kampüslerin veri sızıntılarıyla sarsıldığı bu Haziran ayında siber dünya bize şunu söylüyor: Yapay zekayı ve geleceği konuşabiliriz, ama en büyük kaleler hala en arkadaki unutulmuş kod satırlarıyla fethediliyor.