Yaz aylarında seçim sezonu yavaş yavaş yaklaşırken, Gallup anket şirketi, şirketin web sitesinde kötü niyetli kişilere karşı savunmasız bırakan iki çapraz site betik çalıştırma (XSS) açığını kapatmak için harekete geçti.
Her iki kusur da, rakiplere kullanıcılar adına eylem gerçekleştirme fırsatı sundu ve bu da Gallup anketlerini ve araştırma sonuçlarını manipüle etmek için kullanılabilirdi. Bu zayıflıklar, yanlış bilginin zaten yaygın olarak hedef aldığı bir ABD seçim sezonuna doğru ilerlerken özellikle endişe vericidir. Örneğin, bu hafta ABD Adalet Bakanlığı Rusya’yı şu suçlamalarla suçladı: 10 milyon dolarlık dezenformasyon kampanyası Kasım ayında yapılacak başkanlık seçimlerini etkilemek için sosyal medyayı yeterince kötü bilgiyle doldurmaya çalıştı.
Checkmarx’taki siber güvenlik araştırmacıları 9 Eylül tarihli bir raporda, Gallup’taki olay müdahale ekibiyle ilk olarak 23 Haziran’da iletişime geçerek rapor verdiklerini açıkladılar XSS kusurları — ilki 10 üzerinden 6,5 CVSS puanına sahip yansıtılmış bir XSS hatası, ikincisi ise 5,4 CVSS puanına sahip bir belge nesne modeli (DOM) tabanlı XSS güvenlik açığı.
“Yanlış bilgi ve kimlik hırsızlığının önemli tehditler oluşturduğu bir çağda, anket platformlarının güvenliği, özellikle de önemli küresel seçim döngüleri sırasında, hayati önem taşımaktadır,” diye yazdı Checkmarx ekibi. “Önde gelen anket şirketi Gallup, yanlış bilginin yayılmasını kolaylaştırmak ve kullanıcıların kişisel verilerini tehlikeye atmak için istismar edilebilecek güvenlik açıklarını hızla ele aldı.”
Gallup’un Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açıkları
Yansıyan ilk XSS açığında araştırmacılar, “/kiosk.gx uç noktasının, sorgu dizesi ALIAS parametre değerini sayfaya eklemeden önce düzgün bir şekilde temizlemediğini veya kodlamadığını” buldular.
Araştırmacılar, söz konusu güvenlik açığının kötü niyetli kişilerin hedeflenen kullanıcının gezinme oturumunda kod çalıştırarak bu kullanıcının adına çeşitli eylemler gerçekleştirmesine olanak tanıyabileceğini de sözlerine ekledi.
Checkmarx ekibi, “Bu uç noktanın, kullanıcıları istismara karşı daha savunmasız hale getirebilecek Gallup anketlerine erişmek için yaygın olarak kullanıldığını belirtmek önemlidir,” diye yazdı. “Bu, kişisel olarak tanımlanabilir bilgilere (PII) yetkisiz erişime, kullanıcı tercihlerinin manipüle edilmesine ve diğer zararlı eylemlere yol açabilir.”
İkinci açıkta, uç nokta sorgu parametresi değerlerini sayfaya eklemeden önce bir kez daha korumayı başaramadı ve bu da kötü niyetli aktörlere hedef kullanıcılar gibi davranarak görevler gerçekleştirme ve hatta hesabı tamamen ele geçirme fırsatı verdi.
Benzer XSS kusurlarından kaçınmak için, Checkmarx’taki araştırmacılar siber güvenlik ekiplerinin verilerinin yanıt işaretlemesine (HTML) veya sayfa DOM’una gönderilmeden önce düzgün bir şekilde kodlandığından emin olmalarını öneriyor. Ayrıca, tarayıcının betikleri alabileceği veya çalıştırabileceği konumları engellemek için içerik güvenlik politikasının ayarlanmasını öneriyorlar.
Checkmarx Güvenlik Araştırmaları Başkan Yardımcısı Erex Yalon, “Dünya Ekonomik Forumu’nun ‘Küresel Riskler Raporu 2024’te, yanlış bilginin yaygınlığı 2024’ün en büyük küresel riski olarak belirlendi” diyor.[It’s important to] “Kötü niyetli aktörlerin saldırılarına açık güvenli yazılımlar geliştirmek, bilgi açığını kapatmak ve seçim sürecinin bütünlüğünü korumak için eğitim vermek.”