FTC, GoDaddy’yi Büyük İhlallerin Ardından Standart Güvenlik Uygulamalarını Uygulayamadığı İçin Eleştirdi

   Ocak 16, 2025  Posted in CyberSecurityNews


FTC, Büyük İhlallerden Sonra Standart Güvenlik Uygulamalarının Eksikliği Konusunda GoDaddy'yi Uyardı

Federal Ticaret Komisyonu (FTC), müşterilerinin verilerini korumak için yeterli güvenlik önlemlerini uygulamadığı için dünyanın en büyük web barındırma şirketlerinden biri olan GoDaddy’ye karşı önemli bir işlem başlattı.

FTC, GoDaddy’nin “makul olmayan güvenlik uygulamalarının” 2019 ile 2022 yılları arasında çok sayıda büyük ihlale yol açtığını, hassas müşteri bilgilerinin açığa çıktığını ve milyonlarca işletmeyi ve tüketiciyi riske attığını iddia ediyor.

FTC’ye göre GoDaddy, barındırma hizmetlerini korumak için gerekli temel siber güvenlik uygulamalarını benimsemekte başarısız oldu. Şirketin aşağıdaki gibi kritik önlemleri ihmal ettiği iddia ediliyor:

  1. Düzenli yazılım güncellemeleri ve yama yönetimi yürütmek.
  2. Yönetici erişimi için çok faktörlü kimlik doğrulamanın (MFA) uygulanması.
  3. Güvenlikle ilgili olayların günlüğe kaydedilmesi ve izlenmesi.
  4. Saldırganların yanal hareketini önlemek için ağını bölümlere ayırıyor.
  5. API’ler gibi hassas sistemlere olan bağlantıların güvenliğini sağlama.

FTC ayrıca GoDaddy’yi, güçlü güvenlik sağladığına dair pazarlama iddiaları yoluyla müşterileri yanıltmakla suçladı.

“7/24 ağ güvenliği” güvencelerine ve AB-ABD Gizlilik Kalkanı gibi uluslararası gizlilik çerçevelerine bağlılığa rağmen FTC, bu iddiaların yanlış veya yanıltıcı olduğunu tespit etti.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Güvenlik Arızalarının Etkisi

GoDaddy’nin siber güvenlikteki eksiklikleri, müşteri web sitelerini ve verilerini tehlikeye atan çok sayıda ihlale yol açtı. Önemli olaylar şunları içerir:

1. 2019-2020 İhlali: Saldırganlar GoDaddy’nin barındırma ortamındaki güvenlik açıklarından yararlanarak altı aydan fazla bir süre boyunca yetkisiz erişim elde etti. Uygulama dosyalarını kötü amaçlı sürümlerle değiştirerek yaklaşık 28.000 müşteri ve 199 çalışanın oturum açma kimlik bilgilerini tehlikeye attılar.

2. 2021 WordPress İhlali: Bilgisayar korsanları güvenli olmayan bir API’ye erişerek 1,2 milyon müşterinin e-posta adresleri, özel şifreleme anahtarları ve veritabanı kimlik bilgileri dahil hassas verilerini açığa çıkardı.

3. 2022 Tekrarı: Bir tehdit aktörü, daha önceki ihlallerden kalan güvenlik açıklarından yararlanarak müşteri web sitelerinin ziyaretçilerini kötü amaçlı sitelere yönlendirdi.

Bu olaylar yalnızca GoDaddy hizmetlerine güvenen işletmelere zarar vermekle kalmadı, aynı zamanda etkilenen web sitelerini ziyaret eden tüketicileri de tehlikeye attı. Kurbanlar kimlik hırsızlığı, mali dolandırıcılık ve kötü amaçlı yazılımlara maruz kalma gibi risklerle karşı karşıya kaldı.

FTC’nin Eylemleri ve Uzlaşması

Bu başarısızlıklara yanıt olarak FTC, önerilen bir uzlaşma anlaşması kapsamında GoDaddy’nin siber güvenlik uygulamalarını elden geçirmesini zorunlu kıldı. Temel gereksinimler şunları içerir:

  1. Kapsamlı bir bilgi güvenliği programının oluşturulması.
  2. Tüm idari hesaplarda MFA’nın uygulanması.
  3. Güvenlik önlemlerine ilişkin düzenli olarak üçüncü taraf değerlendirmeleri yapmak.
  4. Tüm API iletişimleri için güvenli bağlantıların sağlanması.

Anlaşma, GoDaddy’nin gelecekte güvenlik uygulamaları hakkında yanlış iddialarda bulunmasını yasaklıyor. Şirket, yanlış yaptığını kabul etmese veya para cezasıyla karşı karşıya kalmasa da, emre uyulmaması, ihlal başına 51.744 dolara kadar para cezasıyla sonuçlanabilecek.

GoDaddy, FTC’nin önerdiği önlemlerin çoğunu zaten uyguladığını ve siber güvenlik savunmalarını iyileştirmeye kararlı olduğunu belirtti.

Bir şirket sözcüsü, “Müşterilerimizin verilerini ve web sitelerini korumaya odaklandık” dedi. “Sistem ve bilgi güvenliğini geliştirmek için teknolojilere, araçlara ve uzmanlığa yatırım yapmaya devam ediyoruz.”

Şirket, uzlaşma şartlarına uymanın minimum mali etki beklediğini vurguladı.

FTC Tüketiciyi Koruma Bürosu Direktörü Samuel Levine bu davanın önemini vurguladı: “Milyonlarca küçük işletme, web sitelerinin güvenliğini sağlamak için GoDaddy gibi barındırma sağlayıcılarına güveniyor.

FTC, şirketlerin dünya çapındaki tüketicileri korumak için güvenlik çerçevelerini güçlendirmelerini sağlamak üzere harekete geçiyor.”

Bu eylem, FTC’nin tüketicileri riske sokan siber güvenlik başarısızlıklarından şirketleri sorumlu tutma konusundaki kararlılığının altını çiziyor.

Veri korumadaki benzer eksiklikler nedeniyle Marriott International gibi diğer büyük firmalara karşı da benzer yaptırım önlemleri alındı.

Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri



Source link