Son zamanlarda Yeniden düzenleme veri ihlali olayı, Google Authenticator’da iddia edilen bir güvenlik açığını gün ışığına çıkardı.
Retool tarafından hazırlanan yakın tarihli bir rapora göre, uygulamanın kritik kullanıcı bilgilerini bulutta depolamasına olanak tanıyan bulut senkronizasyon özelliğinden kaynaklanan bir Google Authenticator güvenlik açığı, Retool veri ihlalinin daha da kötüleşmesinden sorumluydu.
Retool veri ihlalini ele alan bir Retool raporunda, güvenlik açığı olayının Retool’u doğrudan etkileyerek yaygın bir veri ihlaline neden olduğu ve müşterileri hakkındaki potansiyel verileri açığa çıkardığı belirtildi.
Retool veri ihlali, ağırlıklı olarak kripto para sektöründen 27 bulut müşterisinin hesaplarının, Google Authenticator uygulamasındaki bir güvenlik açığından yararlanan siber saldırganların kurbanı olmasına neden oldu.
Google Authenticator Güvenlik Açığı ile Bağlantılı Veri İhlalini Yeniden Düzenleyin
Şirkete göre Retool veri ihlali, SMS kimlik avı ve manipülatif tekniklerden yararlanan karmaşık bir sosyal mühendislik saldırısından kaynaklandı.
MFA aslında MFA olmadığında başlıklı bir güvenlik gönderisinde şirket, birkaç çalışanın cihazlarına bilgisayar korsanlarının maskeli bir kimlik avı saldırısı olan açık kayıt hakkında bir metin aldığını iddia etti.
Şirketin gönderisinde “Birçok çalışan, bir BT üyesinin açık kaydı engelleyecek (çalışanın sağlık sigortasını etkileyen) bir hesap sorunuyla ilgili olarak iletişime geçtiğini iddia eden hedefli mesajlar aldı” ifadesine yer verildi.
“Zamanlama, yakın zamanda duyurulan oturum açma bilgilerinin Okta’ya taşınmasıyla aynı zamana denk geldi ve mesaj, dahili kimlik portalımıza benzeyecek şekilde gizlenmiş bir URL içeriyordu. Neredeyse tüm çalışanlar etkileşime girmedi, ancak ne yazık ki bir çalışan saldırganlar tarafından sağlanan bağlantıya giriş yaptı”, diye ekledi Mühendislik, Retool Müdürü Snir Kodesh.
Retool’daki çoğu çalışan, bağlantılı siteye giriş yapan biri dışında herhangi bir işlem yapmadı.
Muhtemelen bu çalışan, yazılı açıklamada kullanılan dile bağlı olarak Google Authenticator’dan hem bir şifre hem de geçici bir tek kullanımlık şifre (TOTP) sağlamıştır.
Google Authenticator Güvenlik Açığı Nasıl E Oldu?istismar edildi
Bu Retool veri ihlalinin önemli bir yönü, Google Authenticator’ın bulut senkronizasyon özelliği tarafından kolaylaştırılan 2FA kodlarının Google hesaplarıyla senkronize edilmesiydi.
Bu özellik kolaylık sağlarken aynı zamanda önemli güvenlik risklerini de beraberinde getirir. Bunun nedeni, bir Google hesabının ele geçirilmesi durumunda saldırganların tüm senkronize 2FA kodlarına erişim elde etmesidir.
Bunun ardından çalışan, BT ekibi üyesi olduğunu iddia eden bir kişiden telefon aldı. Bu kişi ofis düzeni, meslektaşları ve şirketin iç süreçleri hakkında bilgi sahibi olduğunu gösterdi.
Görüşme sırasında çalışan “ek çok faktörlü kod” sağladı. Bu noktada Google’ın Nisan ayında uygulamaya koyduğu bir senkronizasyon özelliği, ihlalin ciddiyetini daha da artırdı.
Bu, saldırganların çalışanın hesabını ve diğer birçok şirket hesabını ele geçirmesine olanak tanıdı.
Retool’un birincil gözetimi, yalnızca TOTP’lerin gizliliğine bağlı olan MFA’ya güvenmekti.
Yıllardır bu kodların, bir parolanın kimlik avına çıkarılmasından biraz daha fazla çabayla ele geçirilebileceği açıktı.
Sektör çapındaki FIDO2 spesifikasyonuyla uyumlu MFA formları, Retool’u hedef alan kimlik avı saldırılarına karşı bağışıklık sağlar.
Google sorunu kabul etti ve gelişmiş güvenlik için FIDO tabanlı teknolojilere geçiş yapılmasını önerdi.
Kullanıcılar ayrıca OTP’leri için bulut senkronizasyonunu açma veya kapatma seçeneğine de sahiptir, bu da onlara güvenlikleri üzerinde daha fazla kontrol sağlar.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.