Küresel muhasebe devi Ernst & Young’a (EY) ait devasa bir 4 TB SQL Server yedekleme dosyasının Microsoft Azure’da herkesin erişimine açık olduğu keşfedildi.
Siber güvenlik firması Neo Security tarafından rutin bir varlık haritalama çalışması sırasında ortaya çıkarılan ifşa, iyi kaynaklara sahip kuruluşların bile hassas verileri istemeden internetin otomatik tarayıcılarına karşı nasıl savunmasız bırakabileceğini gösteriyor.
Neo Security’nin baş araştırmacısı, dosyayı pasif ağ trafiğini düşük seviyeli araçlarla incelerken keşfetti.
İçeriği indirmeden meta verileri getirmeyi amaçlayan basit bir HEAD isteği, şaşırtıcı boyutu ortaya çıkardı: 4 terabaytlık veri, milyonlarca belgeye veya tüm bir kütüphanenin bilgisine eşdeğer.
Dosyanın adlandırma kuralı, genellikle şemalar, kullanıcı verileri ve en önemlisi API anahtarları, kimlik bilgileri ve kimlik doğrulama belirteçleri gibi gömülü sırlar dahil olmak üzere tam veritabanı dökümlerini içeren SQL Server yedeklemesini (.BAK formatı) haykırıyordu.
Keşif ve Doğrulama Süreci
Azure Blob Depolama üzerinde yapılan ilk aramalar, herhangi bir anında sahiplik ipucu vermedi, ancak daha derin araştırmalar, DeepL gibi araçlarla çevrilmiş, 2020’deki bir satın alma işlemine işaret eden Avrupa dilindeki birleşme belgelerini ortaya çıkardı.
Önemli bir DNS SOA kaydı araması, alanı ey.com’a bağlayarak EY’nin katılımını doğruladı. Neo Security, herhangi bir yasal tuzağı önlemek için ekibin dosyanın yalnızca ilk 1000 baytını indirdiğini ve şifrelenmemiş bir SQL Server yedeklemesi için şaşmaz bir “sihirli bayt” imzasını ortaya çıkardığını öğrendi.
Bu teorik bir risk değildi. Neo Security, benzer bir .BAK dosyasının yalnızca beş dakika süreyle kısa süreliğine açığa çıkmasından kaynaklanan bir fintech ihlalini hatırlatarak gerçek dünyadaki olay müdahale deneyimine güvendi.
Bu durumda saldırganlar, kişisel bilgileri ve kimlik bilgilerini sızdırmak için kısa pencereden yararlanarak fidye yazılımına ve şirketin çökmesine yol açtı.
Günümüzün botnet’lerinin tüm IPv4 adres alanını dakikalar içinde taramasıyla, bu tür açığa çıkmalar kaçınılmaz olarak tehlikeye davetiye çıkarıyor. Neo Security, daha fazla araştırmayı durdurdu ve bir hafta sonu boyunca sorumlu açıklamayı sürdürdü ve sonunda 15 denemeden sonra LinkedIn desteği aracılığıyla EY’nin CSIRT’sine bağlandı.
EY hızlı ve profesyonel bir şekilde yanıt vererek, herhangi bir savunma yapmadan, yalnızca etkili bir eylemle sorunu bir hafta içinde önceliklendirip düzeltti.
Firma, genellikle inkar veya gecikmelerle gölgelenen bir endüstride nadir görülen, olgun yönetimi nedeniyle övgüyü hak ediyor. Ancak olay, sistemik bulut güvenlik açıklarının altını çiziyor. Azure’un veritabanlarını dışa aktarma kolaylığı, ACL (Erişim Kontrol Listesi) hatalarına yol açarak tek bir yanlış tıklamayla özel depolamayı genel kullanıma açık hale getirebilir.
Milyar dolarlık anlaşmaları denetleyen ve piyasayı harekete geçiren finansal verileri tutan Dört Büyük şirketten biri olan EY için bu hata, hızlı tempolu altyapılardaki gözetimle ilgili soruları gündeme getiriyor.
Uzmanlar, otomatik rakip taramanın, ifşaların “eğer” değil, “kaç” aktörün farkına vardığı anlamına geldiği konusunda uyarıyor.
Bulutun karmaşıklığı arttıkça, sürekli haritalama ve görünürlük araçları, tehditleri geride bırakmak için gerekli hale geliyor ve kuruluşların önce kendi sızıntılarını keşfetmesini sağlıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
