Anadolu Sigorta'nın ardından, Hızlı Geçiş Sistemi (HGS) uygulamasından gönderilen izinsiz bildirimler vatandaşlar arasında endişeye neden oldu. Bu bildirimlerde küfürlü ifadelerin yanı sıra kripto para talepleri de yer aldı. İzinsiz mesajlar, kullanıcılara bildirim göndermek için kullanılan API anahtarlarının ele geçirilmesiyle iletildi.
Bilişim makamlarının çalışmaları sonucunda, olaya karışan IP adresleri log kayıtlarında tespit edildi. PTT'den yapılan açıklamada, HGS mobil uygulamasının mesaj servisine yurtdışından izinsiz erişim gerçekleştiği, ancak herhangi bir veri kaybı ya da kullanıcı bilgilerinin yetkisiz kişilerin eline geçmesi durumunun yaşanmadığı belirtildi.
Yaşananlarla ilgili hukuki süreç başlatılırken, Ulusal Siber Olaylara Müdahale Merkezi (USOM) de harekete geçti. USOM, söz konusu uygulamalar tarafından kullanılan ABD merkezli "OneSignal" bildirim hizmetine ait API anahtarlarının siber saldırganlar tarafından ele geçirildiğini ve bu anahtarlar kullanılarak vatandaşlara yanıltıcı bildirimler gönderildiğini tespit etti. Kurumlar, bünyelerinde geliştirilen veya kullanılan mobil uygulamalarda yerleşik API anahtarlarının kullanılmaması, kullanılıyorsa da yetki sınırlandırılmasına gidilmesi konusunda uyarıldı. Ayrıca, "OneSignal" uygulamasına giriş yapmaya yetkili tüm hesapların parolalarının ivedilikle sıfırlanması ve API anahtarlarının değiştirilmesi istendi.
USOM, vatandaşları bu ve benzeri oltalama içerikli mesajlara itibar etmemeleri ve herhangi bir kripto para transferi gerçekleştirmemeleri konusunda uyardı. İzinsiz erişim nedeniyle 3 milyondan fazla HGS bildirimi gönderildiği öğrenilirken, API'lerini düzgün kurgulamamış başka firmaların da benzer olaylardan etkilenme riski altında olduğu ifade edildi.
