Bulut Güvenliği , Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü , Güvenlik İşlemleri
Araştırmacılar, Bilgisayar Korsanlarının Erişim Kimlik Bilgilerini Çalmak İçin Aktif Olarak Yedeklemeleri Tarıyor
Mathew J. Schwartz (euroinfosec) •
8 Şubat 2023
Çevrimiçi alışveriş yapanların dikkatine: Favori dijital butiğiniz, kötü yapılandırılmış yedeklemeler yoluyla müşteri verilerini açığa çıkarıyor olabilir.
Ayrıca bakınız: paneli | Bir Yanıt Sağlayıcı Seçmenin Gerçekleri
2.037 e-ticaret mağazası üzerinde yapılan bir araştırma, 250 tanesinin özel bilgiler içeren ve erişim kısıtlaması olmaksızın herkesin erişebileceği klasörlerde saklanan yedeklere sahip olduğunu buldu.
Tüccarların çevrimiçi mağazalarının güvenliğini sağlamalarına yardımcı olan bir Amsterdam firması olan Sansec’in raporu, bu tür yedekleri bulmanın kolay olabileceğini söylüyor. Genellikle ZIP, SQL, TAR, GZ veya TGZ dosyaları ve spor adları olarak depolanırlar. backup.tgz
, database.sql
Ve myfiles.zip
.
Birçoğu, “bir mağazanın gizli yönetici URL’si, ana veritabanı parolası, ayrıca personel hesapları için karma parolalar” ve “gizli API anahtarları” gibi bir saldırganın bir siteye yönetici düzeyinde erişim elde etmek için ihtiyaç duyduğu her şeyi içerir. Sansec’in raporuna göre, tam müşteri verileri”, kişisel olarak tanımlanabilir bilgiler anlamına gelir – diğer adıyla PII.
Şirketin tehdit araştırma direktörü Willem de Groot, araştırmanın itici gücünün, Sansec’in dijital adli tıp araştırmaları yürütürken kamuya açık yedekleri defalarca görmesi ve araştırmacıların sorunun yaygın olabileceğini varsayması olduğunu söylüyor. “Şüphemizi ölçmek için, geniş bir analiz yapmak için barındırma ortaklarımızla birlikte çalıştık” ve örneklem büyüklüğü göz önüne alındığında, sonuçların “kendi kendine barındırılan e-ticaret platformu pazarını temsil ettiğini” düşünüyor.
Özel yedeklemelerin herkese açık olarak ifşa edilmesi akademik bir sorun gibi görünmüyor, çünkü birden fazla saldırı grubunun bu tür dosyalar için e-ticaret mağazalarını alt etmek üzere otomatik araçlar kullandığı görüldü. Sansec, “Birden fazla hafta boyunca binlerce olası yedek adın denendiği çevrimiçi mağazalara yönelik otomatik saldırılar gözlemledik.”
Bu saldırılar, adları iyi bilinen veya site adına dayalı sözcükler kullanan veya DNS bilgilerinden alınan dizinleri ve dosyaları bulmaya çalışabilir. Sansec, “Bu araştırmaların çalıştırılması çok ucuz olduğundan ve hedef mağaza performansını etkilemediğinden, bir yedek bulunana kadar temelde sonsuza kadar devam edebilirler” diyor.
Saldırganlar bir siteye uzaktan erişim sağladıktan sonra, Magecart tarzı saldırılar olarak bilinen yöntemlerle, müşteriler tarafından girildiği şekliyle kart ödeme verilerini ele geçirmek için tasarlanmış dijital skimmers veya sniffers gibi kötü amaçlı kodlar sunabilirler. Çalınan müşteri verileri, kimlik avı kampanyaları da dahil olmak üzere sosyal mühendislik saldırıları için kullanılabilir.
Sansec’in araştırmacıları, hem küçük hem de büyük e-ticaret operasyonlarının özel yedeklemeleri sızdırdığını buldu. De Groot, “Bundan zarar görmeyen tek kuruluşlar, katı dağıtım prosedürlerine sahip olanlardır; bu, üretim sistemlerine manuel müdahalenin yasak olduğu anlamına gelir,” diyor.
Araştırmanın bir parçası olarak, açığa çıkan yedeklerin hiçbiri indirilmedi. Bunun yerine, etkilenen tüccarların yanı sıra Sansec’in birlikte çalıştığı barındırma sağlayıcılarının uyarı aldığını ve ikincisinin bu sorunu çözmek için “platform çapında hafifletmeler uyguladığını” söylüyor.