3. Parti Uygulamaların %64'ü Hassas Verilere Gerekçe Olmadan Erişiyor

4.700 önde gelen web sitesini analiz eden araştırma, üçüncü taraf uygulamaların artık %64’ünün iş gerekçesi olmadan hassas verilere eriştiğini ortaya koyuyor; bu oran 2024’te %51’di.
Devlet sektöründeki kötü amaçlı faaliyetler %2’den %12,9’a yükselirken, 7 Eğitim sitesinden 1’inde aktif güvenlik ihlali görülüyor.
Spesifik suçlular: Google Etiket Yöneticisi (ihlallerin %8’i), Shopify (%5), Facebook Pixel (%4).

43 sayfalık analizin tamamını indirin →

TL;DR

2026 araştırmasında kritik bir kopukluk ortaya çıkıyor: Güvenlik liderlerinin %81’i web saldırılarını birinci öncelik olarak nitelendirirken, yalnızca %39’u kanamayı durduracak çözümler uyguladı.

Geçen yılın araştırmasında %51 oranında haksız erişim tespit edildi. Bu yıl bu oran %64’tür ve kamu altyapısına doğru giderek artmaktadır.

Web’e Maruz Kalma Nedir?

Gartner, analitikler, pazarlama pikselleri, CDN’ler ve ödeme araçları gibi üçüncü taraf uygulamalardan kaynaklanan güvenlik risklerini tanımlamak için ‘Web Maruziyeti Yönetimi’ni icat etti. Her bağlantı saldırı yüzeyinizi genişletir; Tek bir satıcının uzlaşması, kimlik bilgilerini toplamak veya ödemeleri gözden geçirmek için kod enjekte ederek büyük bir veri ihlalini tetikleyebilir.

Bu risk, pazarlama veya dijital ekiplerin BT gözetimi olmadan uygulamaları dağıttığı yönetim boşluğundan kaynaklanmaktadır. Sonuç, aşırı izin verilen uygulamalara, işlevsel olarak ihtiyaç duymadıkları hassas veri alanlarına erişim izni verildiği kronik yanlış yapılandırmadır.

Bu araştırma, bu üçüncü taraf uygulamaların tam olarak hangi verilere dokunduğunu ve meşru bir ticari gerekçeye sahip olup olmadıklarını analiz ediyor.

Metodoloji

Reflectiz, 12 ay boyunca (Kasım 2025’te sona erecek) kendi özel Pozlama Derecelendirme sistemini kullanarak 4.700 önde gelen web sitesini analiz etti. Milyonlarca web sitesini tarayarak topladığı çok sayıda veri noktasını, her bir risk faktörünü bağlam içinde dikkate alarak analiz eder, genel bir risk düzeyi oluşturmak için bunları bir araya getirir ve bunu A’dan F’ye kadar basit bir not olarak ifade eder. Bulgular, sağlık, finans ve perakende sektörlerindeki 120’den fazla güvenlik liderinin katıldığı bir anketle desteklenmiştir.

Haksız Erişim Krizi

Rapor, “haksız erişim” olarak adlandırılan büyüyen bir yönetişim boşluğunun altını çiziyor: üçüncü taraf araçlara, kanıtlanabilir bir iş ihtiyacı olmadan hassas verilere erişim izni verilen örnekler.

Üçüncü taraf bir komut dosyası şu ölçütlerden herhangi birini karşıladığında erişim işaretlenir:

İlgisiz İşlev: Görevi için gereksiz verileri okumak (örneğin, ödeme alanlarına erişen bir sohbet robotu).
Sıfır Yatırım Getirisi Varlığı: 90’dan fazla gün boyunca sıfır veri aktarımına rağmen yüksek riskli sayfalarda aktif kalmaya devam etmek.
Gölge Dağıtımı: Güvenlik gözetimi veya “en az ayrıcalık” kapsamı olmadan Etiket Yöneticileri aracılığıyla ekleme.
Aşırı İzin Verme: Kısıtlanmış öğeler yerine sayfaların tamamını silmek için “Tam DOM Erişimi”ni kullanma.

“Kuruluşlar hassas verilere erişime istisna yerine varsayılan olarak izin veriyor.” Bu eğilim, pazarlama baskılarının genellikle güvenlik incelemelerini geçersiz kıldığı Eğlence ve Çevrimiçi Perakende’de en şiddetli şekilde görülüyor.

Çalışma, bu maruziyeti yönlendiren belirli araçları tanımlıyor:

Google Etiket Yöneticisi: Tüm haksız hassas veri erişiminin %8’ini oluşturuyor.
Shopify: Haksız erişimin %5’i.
Facebook Piksel: Analiz edilen dağıtımların %4’ünde piksele aşırı izin verildiği ve işlevsel izleme için ihtiyaç duymadığı hassas giriş alanlarını yakaladığı tespit edildi.

Bu yönetişim boşluğu teorik değil. Sağlık, finans ve perakende sektöründen 120’den fazla güvenlik karar vericisinin katılımıyla yakın zamanda yapılan bir anket, kuruluşların %24’ünün yalnızca WAF gibi genel güvenlik araçlarına güvendiğini ve bu durumun onları bu araştırmanın belirlediği belirli üçüncü taraf risklerine karşı savunmasız bıraktığını ortaya çıkardı. Diğer %34’lük kesim ise hâlâ özel çözümleri değerlendiriyor; bu da kuruluşların %58’inin tehdidin farkına varmasına rağmen uygun savunmaya sahip olmadığı anlamına geliyor.

Kuşatma Altındaki Kritik Altyapı

İstatistikler Hükümet ve Eğitim ihlallerinde büyük artışlar gösterirken, neden teknik olmaktan ziyade finansaldır.

Kamu Sektörü: Kötü niyetli faaliyet %2’den %12,9’a yükseldi.
Eğitim Sektörü: Güvenliği ihlal edilmiş sitelere ilişkin belirtiler dört kat artarak %14,3’e yükseldi (7 siteden 1’i)
Sigorta Sektörü: Buna karşılık, bu sektör kötü niyetli faaliyetleri %60 azaltarak yalnızca %1,3’e düşürdü.

Bütçesi kısıtlı kurumlar tedarik zinciri savaşını kaybediyor. Daha iyi yönetişim bütçelerine sahip özel sektörler, ortamlarını istikrara kavuşturuyor.

Ankete katılanlar bunu doğruladı: %34’ü bütçe kısıtlamalarını ana engelleri olarak belirtirken, %31’i insan gücü eksikliğine işaret etti; bu da kamu kurumlarını özellikle sert bir şekilde etkileyen bir kombinasyon.

Farkındalık-Eylem Açığı

Güvenlik lideri anketinin bulguları organizasyonel işlev bozukluklarını açığa çıkarıyor:

%81’i web saldırılarına öncelik veriyor → Yalnızca %39’u konuşlandırılmış çözümler
%61’i hala yetersiz araçları değerlendiriyor veya kullanıyor → %51’e rağmen → %64’lük haksız erişim artışına rağmen
En büyük engeller: Bütçe (%34), düzenleme (%32), personel (%31)

Sonuç: Eyleme geçilmeyen farkındalık, geniş ölçekte güvenlik açığı yaratır. 42 puanlık fark, haksız erişimin neden yıldan yıla %25 arttığını açıklıyor.

Pazarlama Departmanı Faktörü

Bu riskin temel faktörlerinden biri “Pazarlama Ayak İzi”dir. Araştırma, Pazarlama ve Dijital departmanlarının artık tüm üçüncü taraf risklerine maruz kalmanın %43’ünü yönlendirdiğini, buna karşılık BT’nin yarattığı yalnızca %19’u ortaya çıkardı.

Rapor, ödeme çerçevelerinde çalışan uygulamaların %47’sinin iş gerekçesinden yoksun olduğunu ortaya çıkardı. Pazarlama ekipleri, dönüşüm araçlarını sıklıkla bu hassas ortamlara, sonuçlarının farkına varmadan dağıtıyor.

Güvenlik ekipleri bu tehdidin farkında: uygulayıcı anketinde yanıt verenlerin %20’si Tedarik zinciri saldırıları ve üçüncü taraf komut dosyalarındaki güvenlik açıkları en önemli üç endişe arasında yer alıyor. Ancak bu riskleri önleyecek organizasyonel yapı (üçüncü taraf dağıtımlarının birleşik gözetimi) çoğu organizasyonda mevcut değil.