Nereye bakacağınızı biliyorsanız, internette birçok sır bulunabilir. Bağımsız güvenlik araştırmacısı Bill Demirkapi, 2021 sonbaharından bu yana, araştırmacılar tarafından sıklıkla göz ardı edilen devasa veri kaynaklarına erişerek çok sayıda güvenlik sorununu bulmanın yollarını geliştiriyor. Bu, siber suçlulara şirket sistemlerine erişim ve veri çalma yeteneği sağlayabilecek şifreler, API anahtarları ve kimlik doğrulama belirteçleri gibi geliştirici sırlarını otomatik olarak bulmayı içerir.
Bugün, Las Vegas’taki Defcon güvenlik konferansında Demirkapi, bu çalışmanın sonuçlarını açıklıyor ve sızdırılmış sırların ve daha geniş web sitesi güvenlik açıklarının devasa bir hazinesini ayrıntılı olarak açıklıyor. Yazılıma sabit kodlanmış en az 15.000 geliştirici sırrı arasında, Nebraska Yüksek Mahkemesi ve BT sistemleriyle bağlantılı yüzlerce kullanıcı adı ve parola ayrıntısı; Stanford Üniversitesi’nin Slack kanallarına erişmek için gereken ayrıntılar; ve OpenAI müşterilerine ait binin üzerinde API anahtarı buldu.
Büyük bir akıllı telefon üreticisi, bir fintech şirketinin müşterileri ve milyarlarca dolarlık bir siber güvenlik şirketi, istemeden sırları ifşa eden binlerce kuruluş arasında sayılıyor. Demirkapi, bu gidişatı durdurma çabalarının bir parçası olarak, ayrıntıların otomatik olarak iptal edilmesini sağlayacak bir yol buldu ve bunları herhangi bir hacker için işe yaramaz hale getirdi.
Araştırmanın ikinci ayağında Demirkapi, veri kaynaklarını tarayarak 66.000 web sitesinin alt alan adı sorunlarıyla karşılaştığını ve bu sorunların onları ele geçirme de dahil olmak üzere çeşitli saldırılara karşı savunmasız hale getirdiğini buldu. The New York Times’a ait bir geliştirme alanı da dahil olmak üzere dünyanın en büyük web sitelerinden bazılarının zayıflıkları vardı.
Demirkapi, incelediği iki güvenlik sorununun araştırmacılar arasında iyi bilindiğini söylerken, genellikle başka amaçlar için ayrılmış olan alışılmadık veri kümelerine yönelmenin, binlerce sorunun toplu olarak tanımlanmasına olanak sağladığını ve genişletilirse, genel olarak web’i korumaya yardımcı olma potansiyeli sunduğunu söylüyor. Demirkapi, WIRED’a “Amaç, ölçekte önemsiz güvenlik açığı sınıflarını keşfetmenin yollarını bulmaktı,” diyor. “Yaratıcı çözümler için bir boşluk olduğunu düşünüyorum.”
Dökülen Sırlar; Savunmasız Web Siteleri
Bir geliştiricinin şirketinin sırlarını yanlışlıkla yazılıma veya koda dahil etmesi nispeten önemsizdir. Bulut güvenlik şirketi Wiz’de AI ve tehdit araştırmaları başkan yardımcısı olan Alon Schindel, geliştiricilerin yazılım geliştirme süreci boyunca istemeden sabit kodlayabileceği veya ifşa edebileceği çok çeşitli sırlar olduğunu söylüyor. Bunlara parolalar, şifreleme anahtarları, API erişim belirteçleri, bulut sağlayıcı sırları ve TLS sertifikaları dahil olabilir.
Schindel, “Sırları sabit kodlu bırakmanın en büyük riski, dijital kimlik doğrulama bilgilerinin ve sırlarının açığa çıkması durumunda, saldırganların şirketin kod tabanlarına, veri tabanlarına ve diğer hassas dijital altyapılarına yetkisiz erişim sağlayabilmesidir” diyor.
Riskler yüksek: Açığa çıkan sırlar veri ihlallerine, bilgisayar korsanlarının ağlara girmesine ve tedarik zinciri saldırılarına yol açabilir, diye ekliyor Schindel. 2019’daki önceki araştırmalar, her gün binlerce sırrın GitHub’a sızdırıldığını buldu. Ve çeşitli gizli tarama araçları mevcut olsa da, bunlar büyük ölçüde belirli hedeflere odaklanıyor ve daha geniş web’e odaklanmıyor, diyor Demirkapi.
Araştırması sırasında, beş yıl önce ergenlik çağındaki okul korsanlığı istismarlarıyla ilk kez öne çıkan Demirkapi, bu gizli anahtarları ölçeklenebilir bir şekilde aradı; bir şirket seçip sırlarını özel olarak aramak yerine. Bunu yapmak için, geliştiricilerin uygulamalar gibi dosyaları yüklemelerine ve olası kötü amaçlı yazılımlara karşı taranmalarına olanak tanıyan Google’a ait web sitesi VirusTotal’a yöneldi.