YORUM
Gerçekten değişmez ve potansiyel olarak paha biçilemez olan birkaç bilgiden biri genetik bilgidir. Genomumuzu büyük ölçüde değiştiremeyiz. Herhangi bir sayıda farklı algoritmik veya karma yapıda saklanabilen biyometrik verilerin aksine, genetik bilgi her zaman basit amino asit çifti dizilerine indirgenebilir. O halde kabus senaryosu, kötü aktörlerin genetik veri tabanını hacklemesi ve çok sayıda insanın biyolojik planlarına erişmesidir.
Geçtiğimiz günlerde bu kabus gerçek oldu Genetik test şirketi 23andMe’nin hacklenmesi. Saldırganlar klasik kullandı kimlik bilgisi doldurma teknikleri 14.000 kullanıcı hesabına yasadışı olarak erişmek. Ama orada durmadılar. 23andMe’nin, kullanıcıların ilişkili olabilecek diğer kullanıcıların verilerini paylaşmasına ve okumasına olanak tanıyan paylaşım özellikleri nedeniyle bilgisayar korsanları, 6,9 milyon kişiden alınan genetik veriler. Saldırganlar Dark Web’de 1 milyon profil için teklifler yayınladı. 23andMe saldırının tam etkisini saldırıdan bir ay sonrasına kadar açıklamadı.
Kullanıcıları korumak için 23andMe, tüm kullanıcılardan şifrelerini derhal değiştirmelerini ve şifrelerinin benzersiz ve karmaşık olduğundan emin olmalarını istiyor. Bu iyi ama yetersiz. Daha da önemlisi, şirket ekstra bir güvenlik katmanı için mevcut müşterilerini otomatik olarak iki faktörlü kimlik doğrulamasına kaydediyor. Kaçınılmaz felaket olayını beklemek yerine, her bir hizmet olarak yazılım (SaaS) uygulaması 2FA’yı zorunlu hale getirmeli ve en iyi uygulamalar, minimum üç faktör mevcut olacak şekilde 2FA’dan MFA’ya taşınmalıdır. Bu artık bir kamu güvenliği meselesidir ve tıpkı otomobil üreticilerinin araçlarına emniyet kemeri ve hava yastığı eklemesi gerektiği gibi zorunlu olmalıdır.
Ağ Etkileri Uzlaşmanın Etkilerini Katlıyor
Hesaplarımızın ve SaaS uygulamalarımızın çoğu, görünürlüğü katlanarak artıran ağ bağlantılı yetenekler içerir. 23andMe vakasında açığa çıkan veriler, 14.000 hesap kullanıcısının paylaştığı veya erişilebilir hale getirdiği DNA Akraba profillerinden (5,5 milyon) ve Aile Ağacı profillerinden (1,4 milyon) gelen bilgileri içeriyordu. Bu bilgiler arasında bazı kullanıcıların doğum yılları ve konumlarının yanı sıra konumlar, görünen adlar, ilişki etiketleri ve eşleşmelerle paylaşılan DNA da yer alıyordu. DNA verilerinin bilgisayar korsanları için piyasa değeri belirsizliğini korurken, benzersizliği ve yeri doldurulamaz doğası, gelecekte olası kötüye kullanım ve hedefleme konusunda endişeleri artırıyor.
23andMe’yi Dropbox, Outlook veya Slack ile değiştirin; nispeten az sayıda açığa çıkan hesabın tüm kuruluş için nasıl veri sağlayabileceğini kolayca görebilirsiniz. Bir Outlook hesabına erişim, daha inandırıcı sosyal mühendislik saldırıları oluşturmak için yararlı olabilecek etkileşimlerin yanı sıra adları ve sosyal bağlantıları da sağlayabilir.
Bu küçük bir tehdit değil. Daha geniş saldırıları yürütmek için ağ bağlantılı önemli miktarda bilgiye sahip, daha zayıf korunan uygulamalar arayan bilgili saldırganları giderek daha fazla görüyoruz. 2023 IBM X-Force 2023 Tehdit İstihbaratı Endeksi’ne göreBaşarılı saldırıların %41’inde birincil vektör olarak kimlik avı ve sosyal mühendislik kullanıldı. Örneğin, Okta oturum belirteci olayı müşterilere yönelik kimlik avı saldırıları için bilgi toplama aracı olarak müşteri desteği ve biletleme sistemindeki zayıf güvenlikten yararlanmaya çalıştı. Bu saldırıların maliyeti artıyor ve şaşırtıcı olabiliyor. IBM, ortalama ihlal maliyetinin 4 milyon doların üzerinde olduğunu tahmin ediyor ve Okta’nın piyasa değeri milyarlarca dolar düştü ihlali duyurduktan sonra.
Gecikmiş Bir Düzeltme: Girişler için Zorunlu 2FA
23andMe hack’i bariz bir gerçeği ortaya çıkarıyor. Kullanıcı adı ve şifre kombinasyonları yalnızca doğası gereği güvensiz olmakla kalmaz, aynı zamanda sigortalanamaz ve kabul edilemez bir risktir. Yalnızca parolanın güvenlik sağladığını varsaymak bile aptalcadır. Güvenlik ve diğer sertifikasyon süreçlerinde, otomatik 2FA kaydını etkinleştiremeyen herhangi bir şirket, ortaklara, yatırımcılara, müşterilere ve devlet kurumlarına gerekli risk bilgilerini sağlama konusunda riskli olarak işaretlenmelidir.
2FA zorunlu olmalı ve herhangi bir SaaS uygulaması için giriş fiyatı olarak uygulanmalıdır – istisna yoktur. Bazı kuruluşlar, böyle bir yetkilendirmenin ek sürtüşmelere yol açacağından ve kullanıcı deneyimini olumsuz etkileyeceğinden şikayetçi olabilir. Ancak yenilikçi uygulama tasarımcıları, kullanıcılarının 2FA kullanması gerekeceği varsayımına dayalı ilk ilkelerden yola çıkarak bu sorunları büyük ölçüde çözmüşlerdir. Dahası, GitHub gibi çok sayıda önde gelen kuruluş 2FA talimatlarını uygulamaya koydu, bu nedenle yetenekli UX ekiplerinin bu zorluğu nasıl ele aldığına dair örnekler konusunda hiçbir eksiklik yok.
İlginçtir ki aynı sürtüşme ve rahatsızlık iddiaları bir zamanlar emniyet kemeri zorunluluğuna karşı temel şikayetlerdi. Bugün kimse gözlerini kırpmıyor ve emniyet kemerleri geniş çapta kabul görüyor. Aynı şekilde, SaaS uygulamalarına yönelik emniyet kemerleri ve hava yastıkları, sonuçta dünyaya milyarlarca dolar tasarruf sağlayacak, kayıpların azalmasını ve üretkenliğin artmasını sağlayacaktır.
Peki ya geçiş anahtarları? Ne yazık ki, önümüzdeki yıllarda kurumsal alanda kritik bir kitleye ulaşmaları pek mümkün değil. Ayrıca geçiş anahtarları MFA ile eşleştirildiğinde daha da güvenlidir. O halde görev, SaaS üreticilerinin kullanılabilirlik oyunlarını geliştirmeleri ve 2FA ve MFA’yı herkes için, özellikle de biyometri, donanım anahtarları ve kimlik doğrulama uygulamaları gibi daha güvenli faktörleri kullanmasını daha da kolay hale getirmeleri olacaktır.
Genetik veriler, SaaS güvenlikli kömür madenindeki kanaryadır. Hayatlarımızın ve aktivitelerimizin giderek daha fazlası çevrimiçi hale geldikçe, hem işletmeler hem de tüketiciler için daha fazla risk ortaya çıkıyor. SaaS’a daha fazla güvenlik kazandırmak herkesin yararına olacak bir kamu yararıdır. Şu anda atılacak en iyi ve en bariz adım, temel güvenlik düzeyi olarak 2FA’yı zorunlu kılmaktır.