Birçok çevrimiçi mağaza, e-ticaret sitelerini devralmak ve sahiplerini gasp etmek için kullanılabilecek dahili hesap parolaları da dahil olmak üzere ortak klasörlerdeki özel yedekleri açığa çıkarıyor.
Web sitesi güvenlik şirketi Sansec tarafından yapılan bir araştırmaya göre, çevrimiçi mağazaların yaklaşık %12’si insan hatası veya ihmal nedeniyle ortak klasörlerdeki yedeklerini unutuyor.
Çalışma, çeşitli boyutlarda 2.037 mağazayı inceledi ve 250’sinin (%12,3) halka açık web klasörlerinde kimlik doğrulama gerektirmeden ücretsiz olarak erişilebilen ZIP, SQL ve TAR arşivlerini açığa çıkardığını buldu.
Arşivler, veritabanı şifrelerini, gizli yönetici URL’lerini, dahili API anahtarlarını ve müşteri PII’sini (kişisel olarak tanımlanabilir bilgiler) içeren yedekler gibi görünüyor.
Aynı raporda Sansec, analistlerinin, bu yedekleri belirlemeye ve ihlaller gerçekleştirmeye çalışan otomatik taramalar başlatan saldırganların sürekli faaliyetlerini gözlemlediğini açıklıyor.
Sansec raporunda, “Çevrimiçi suçlular, parolalar ve diğer hassas bilgileri içerdiklerinden, bu yedekleri aktif olarak tarıyorlar” diyor.
“Açığa çıkan sırlar, mağazaların kontrolünü ele geçirmek, tüccarları gasp etmek ve müşteri ödemelerini engellemek için kullanıldı.”
Tehdit aktörleri, site adına ve genel DNS verilerine dayalı olarak hedef sitelerde “/db/staging-SITENAME.zip” gibi çeşitli olası yedek ad kombinasyonlarını dener.
Bu araştırmaların çalıştırılması ucuz olduğundan ve hedef mağazanın performansını etkilemediğinden, tehdit aktörleri bir yedek bulana kadar bunları haftalarca yürütebilir.
Sansec, bu saldırılar için birden çok kaynak IP’si gördüğünü bildiriyor, bu nedenle tehdit aktörleri, açıktaki yedeklerin varlığının gayet iyi farkında ve birçoğu bundan yararlanmaya çalışıyor.
Açığa çıkan yedekler yönetici ayrıntıları, ana veritabanı parolaları veya personel hesapları içeriyorsa, saldırganlar bunları siteye erişmek ve verileri çalmak veya yıkıcı saldırılar gerçekleştirmek için kullanabilir.
Sitelerinizi kontrol edin!
Sansec, web sitesi sahiplerini, sitelerini yanlışlıkla açığa çıkan veriler ve yedeklemeler için düzenli olarak kontrol etmeye çağırıyor.
Bir web sitesi yedeğini herkese açık olarak ifşa ettiyseniz, yönetici hesaplarını ve veritabanı parolalarını hemen sıfırlayın ve tüm personel hesaplarında 2FA’yı etkinleştirin.
Ayrıca, yedeğin bir üçüncü tarafça indirilip indirilmediğini görmek için web sunucusu günlüklerini kontrol edin ve harici erişim ve kötü niyetli davranış belirtilerini belirlemek için yönetici hesabı etkinlik günlüklerini kontrol edin.
Sansec, web sitesi yöneticilerinin, veri sızıntılarını önlemek için günlük işlemlerde gerekmedikçe web sunucusunu arşiv dosyalarına erişimi kısıtlayacak şekilde yapılandırmasını önerir.
Ek olarak, Adobe Commerce platformunu kullananlar “değişmez depolama” özelliğini kullanmalıdır.