Bilginin İfşa Edilmesi Güvenlik Açığı Nedir? [Examples]

   Kasım 25, 2024  Posted in Mix


HackerOne’ın 8. Yıllık Hacker Destekli Güvenlik Raporu, bilgilerin açığa çıkmasının hata ödüllerinde bildirilen en yaygın üçüncü, sızma testlerinde ise dördüncü en yaygın güvenlik açığı olduğunu belirtiyor. HackerOne platformunda keşfedilen tüm güvenlik açığı türlerinin %10’unu oluşturur.

Her ne kadar “beklenmeyen meyve” güvenlik açığı türü olarak görülse de, bilgilerin ifşa edilmesi, veri ihlalleri ve hırsızlık, kişisel tanımlanabilir bilgilerin (PII) açığa çıkması, mali zararlar ve yasal/uyumluluk sonuçları dahil olmak üzere bir kuruluşu önemli ölçüde etkileyebilir.

Bilginin ifşa edilmesine, ne olduğuna, nasıl kullanıldığına ve nasıl düzeltileceğine daha yakından bakalım.

Bilgi İfşası Nedir?

Bilginin açığa çıkması güvenlik açığı, yetkisiz bir kullanıcının veya saldırganın korunması gereken hassas verilere veya bilgilere erişmesine olanak tanıyan bir tür yazılım güvenlik açığıdır. Bu şunları içerebilir:

  • Kullanıcı adları, şifreler, erişim anahtarları, şifreleme anahtarları vb. sistem verilerini açığa çıkarmak.
  • Kaynak kodunu, yapılandırma dosyalarını veya diğer dahili uygulama ayrıntılarını açığa çıkarma
  • Kullanıcılara ilişkin kişisel veya özel verilerin sızdırılması
  • Saldırganın işine yarayacak teknik ayrıntıların açıklanması

Bilgi ifşa kusurları genellikle sağlam kontrollerin, güvenli olmayan tasarımın ve aşağıdaki gibi kodlama uygulamalarının eksikliğinden kaynaklanır:

  • Yanlış giriş/çıkış filtreleme
  • Yetersiz yetkilendirme kontrolleri
  • İstisnaların ve hataların doğru şekilde ele alınamaması
  • Veri güvenliği uygulamalarının eksikliği
  • Yanlış yapılandırmalar veya güncel olmayan/güvenlik açığı bulunan yazılım bileşenleri

Saldırganlara daha fazla saldırı düzenleyebilmeleri veya gizli verileri doğrudan açığa çıkarabilmeleri için bilgi sağlayabilirler. Bilgilerin ifşa edilmesini önlemek, güvenli giriş doğrulama, uygun hata işleme ve hassas verileri gizleme, şifreleme ve sıkı erişim kontrolleri yoluyla koruma gibi teknikler gerektirir.

Bilgi İfşasının İş Etkisi

1. Mali Kayıplar:

  • Ticari sırlar, fikri mülkiyet hakları veya müşteri bilgileri gibi hassas verilerin açığa çıkması doğrudan mali kayıplara ve rekabet dezavantajlarına yol açabilir.
  • GDPR veya HIPAA gibi veri gizliliği yasalarının ihlal edilmesine ilişkin düzenleyici para cezaları ve cezalar.
  • Güvenlik olayına müdahale maliyeti, müşteri bildirimleri, yasal ücretler vb.

2. İtibar Zararı:

  • Kişisel verilerinin sızdırılması durumunda müşterinin güveninin kaybedilmesi, müşteri kaybına ve yeni müşteri edinmede zorluklara yol açar.
  • Marka itibarının ve şirketin güvenlik uygulamalarına ilişkin kamuoyu algısının zedelenmesi.
  • Veri ihlalini çevreleyen olumsuz medya ilgisi.

3. İş Kesintisi:

  • Bilgi açıklamaları, olaylara müdahale için sistemlerin çevrimdışı duruma getirilmesine neden olabilir.
  • Güvenlik açığı giderilinceye kadar kritik uygulama ve hizmetlerin kesintiye uğraması.
  • Güvenlik olayıyla ilgilenmekten kaynaklanan üretkenlik kayıpları.

4. Uyum İhlalleri:

  • Ödeme bilgileri ve sağlık kayıtları gibi düzenlemeye tabi verilerin sızdırılması, uyumsuzluk cezalarıyla sonuçlanabilir.
  • Potansiyel hükümet denetimleri ve güvenlik uygulamalarının daha fazla incelenmesi.

Bilgi İfşasından Hangi Sektörler Etkileniyor?

Bilgi ifşa etme konularında sektöre göre ayrım yapılmaz. Ancak bazı sektörlerde diğerlerinden daha ön plandadır. Aşağıdaki grafik, HackerOne platformundaki sektörlere göre en önemli güvenlik açıklarını göstermektedir. Bilgi ifşası, Cryptocurrency ve Blockchain kuruluşlarında belirlenen güvenlik açıklarının yalnızca %7’sini oluştururken, Perakende ve E-ticarette %16 gibi büyük bir oranı oluşturuyor. Perakende ve E-ticaret kuruluşları, özellikle yüksek miktardaki hassas müşteri verilerinden sorumludur ve tipik e-ticaret platformlarının birçok giriş noktası nedeniyle tümü risk altındadır. Öte yandan, hassas verilerin korunması söz konusu olduğunda Hükümet alanı oldukça sıkı düzenlemelere tabidir ve bu da bu alanda daha yüksek düzeyde güvenlik sağlanmasına neden olmuştur.

Sektörünüzün ortalamasıyla karşılaştırıldığında güvenlik açıklarınızın ne kadarının uygunsuz erişim kontrolü olduğuna bakın.

Sektöre göre güvenlik açığı türleri

Bilginin İfşa Edilmesi Güvenlik Açığının Gerçek Dünyadan Bir Örneği

HackerOne’ın Hacktivity kaynağı, HackerOne Platformunda açıklanan güvenlik açıklarını sergiliyor. Belirli zayıflıkların nasıl tanımlandığını ve düzeltildiğini görmek için göz atın. Aşağıdaki bilgi açıklama örneği, bir bilgisayar korsanının Basecamp’ta, başlatılmamış bellek sızıntıları yoluyla AWS anahtarlarının ve kullanıcı çerezlerinin sızmasına yol açan bir güvenlik açığını nasıl keşfettiğini gösterir.

Müşteri: Ana kamp
Güvenlik Açığı: Bilgi Açıklaması
Şiddet: Yüksek

Özet

Bilgisayar korsanı @neex tarafından, kötü niyetli bir kişinin Basecamp sunucularındaki AWS anahtarları ve kullanıcı çerezleri gibi hassas bilgilere erişmesine olanak tanıyan yüksek önem derecesine sahip bir güvenlik açığı bildirildi. Bu güvenlik açığı, Basecamp tarafından kullanılan librsvg kitaplığının eski bir sürümündeki başlatılmamış bellek sızıntısı nedeniyle ortaya çıktı. Sorun, Basecamp’ın belirli SVG görüntülerini işleme biçiminden kaynaklanıyor; bu da hassas veriler içerebilecek rastgele bellek içeriklerinin sızmasına yol açabilir.

Darbe

AWS anahtarları ve kullanıcı çerezleri gibi hassas bilgilerin yetkisiz bir aktörün eline geçmesi ciddi sonuçlara yol açabilir. AWS anahtarları, Basecamp bulut altyapısına erişmek ve bu altyapıyı tehlikeye atmak için kötüye kullanılabilir ve bu da tam bir ihlale yol açabilir. Sızan kullanıcı çerezleri, hesabın ele geçirilmesine ve Basecamp’taki kullanıcı verilerine ve hesaplarına yetkisiz erişime yol açabilirdi.

Çoğaltmanın Adımları

  1. Basecamp tarafından kullanılan eski librsvg sürümündeki başlatılmamış bellek sızıntısından yararlanan kötü amaçlı bir SVG görüntüsü hazırlayın.
  2. Kötü amaçlı SVG görüntüsünü, işlenmesini tetikleyecek şekilde Basecamp’a gönderin veya yükleyin.
  3. AWS anahtarlarını, kullanıcı çerezlerini ve diğer hassas bilgileri içerebilecek sızdırılmış bellek içeriğini gözlemleyin.

İyileştirme

Bu güvenlik açığını gidermek için bilgisayar korsanı şunları önerdi:

  • Bu özel hatanın ilk ve en kolay çözümü olarak librsvg’yi en son sürüme güncelleyin.
  • Bir başka olası hızlı düzeltme seçeneği de SVG avatarlarının yüklenmesini yasaklamak veya onlar için önizleme oluşturmayı atlamak olabilir. Önizlemelerin, avatarlar dışında herhangi bir yerde SVG dosyaları için oluşturulmadığını, dolayısıyla bu uç noktaları kullanarak librsvg sorunlarından yararlanmanın imkansız olduğunu unutmayın.
  • Uzun vadeli bir çözüm olarak görüntü önizleme oluşturma işlemini yalıtılmış bir ortama taşıyın. Her görüntüyü ağsız bir liman işçisi içindeki başka bir süreçte dönüştürmek, görüntü dönüştürücüyle ilgili tüm sorunları ortadan kaldıracaktır.

Ödül

Bilgisayar korsanı, Basecamp ekibinden bir olayı önlemelerine yardımcı olduğu için 8.868 dolar ödül ve şükran aldı.

“Burada harika iş çıkardınız. Harika raporunuz ve sabrınız ve yardımınız için teşekkürler.”
— Ana Kamp

HackerOne ile Kuruluşunuzu Bilgi İfşasından Koruyun

Bu, bilginin açığa çıkması güvenlik açığının yaygınlığının ve etkisinin ciddiyetinin yalnızca bir örneğidir. HackerOne ve etik hackerlardan oluşan topluluğumuz, organizasyonların, hata ödülü, Hizmet Olarak Pentest (PTaaS), Kod Güvenliği Denetimi veya diğer çözümler yoluyla, saldırganın keşfetme konusundaki zihniyetini göz önünde bulundurarak bilgilerin ifşa edilmesini ve diğer güvenlik açıklarını tanımlamasına ve düzeltmesine yardımcı olacak en iyi donanıma sahiptir. bir güvenlik açığı.

En önemli 10 HackerOne güvenlik açığının etkisi hakkında daha fazla bilgi edinmek için 8. Yıllık Hacker Destekli Güvenlik Raporunu indirin veya kuruluşunuzda bilgilerin ifşa edilmesine başlamak için HackerOne ile iletişime geçin.



Source link