Bugün, Google’ın, iki yıl boyunca işlem yapılmayan hesapları silme hakkını saklı tutan yeni politikasını yerine getirdiği gün. Şirket, etkinliği “Google Hesabınızda oturum açtığınızda veya oturum açtığınızda gerçekleştirdiğiniz işlemler” olarak tanımlıyor:
- E-posta okuma veya gönderme
- Google Drive’ı kullanma
- Bir YouTube videosunu izleme
- Fotoğraf paylaşma
- Bir uygulamayı indirme
- Google Arama’yı Kullanma
- Üçüncü taraf bir uygulama veya hizmette oturum açmak için Google ile Oturum Açma’yı kullanma
Keeper Security’nin güvenlik ve uyumluluktan sorumlu başkan yardımcısı Patrick Tiquet’in belirttiği gibi, bu hamle siber güvenlik uzmanları tarafından büyük ölçüde övüldü:
“Etkin olmayan hesaplar önemli siber güvenlik riskleri oluşturabilir; çünkü bu hesaplar zayıf veya değişmemiş parolalara sahip olabilir, bu da yetkisiz erişime karşı güvenlik açıkları oluşturabilir ve siber suçluların kimlik avı saldırıları veya verilerin açığa çıkması amacıyla potansiyel olarak kötüye kullanılmasına neden olabilir.”
Centripetal’in güvenlik mühendisi Colin Little da aynı fikirde:
Herhangi bir dijital ortamda, aktif olmayan “dağınıklık” bir miktar risk anlamına gelir. Etkin olmayan ve eski e-posta hesapları özellikle daha yüksek risk altındadır; çünkü birçoğunun MFA, coğrafi konum profilleri ve diğer çağdaş güvenlik kontrollerinden önce olması muhtemeldir. Bu nedenle, etkin olmayan ve eski bir hesap aniden etkin hale gelirse, yalnızca o hesabın orijinal kullanıcısı bundan habersiz olmakla kalmaz, aynı zamanda Google’ın da söz konusu etkinliğin yetkili kullanıcı mı yoksa hesabı kötüye kullanan yetkisiz bir kullanıcı mı olduğunu bilmesinin hiçbir yolu yoktur. Ayrıca, bu etkin olmayan hesaplar çağdaş güvenlik denetimlerinden önce ortaya çıktığı için Google’ın yetkisiz erişimi durduracak bir mekanizması yoktur. Kullanıcı e-posta adreslerinin üçüncü taraf hizmetlerine kaydolmak için kullanılması ve bu üçüncü taraf hizmetlerinin ihlal edilmesi ve e-posta/şifre kombinasyonlarının çalınması yaygın bir durum olduğundan, öngördüğüm risk aylarca, hatta hatta etkin olmayan hesaplar için geçerlidir. yıllar sonra aniden tekrar aktif hale gelip kötü adamlar tarafından suiistimal edilmek ya da hassas bilgiler içerebilecek e-posta hesabının içeriğinin siber suçlular tarafından erişilip çalınması.”
Ben Hutchinson, baş güvenlik danışmanı yardımcısı Synopsys Yazılım Bütünlüğü Grubu Etkin olmayan hesapları sürdürmeyi mülkünüzdeki eski, kırık pencereleri değiştirmemeye benzettim. Şöyle devam etti: “Bir hesabın ele geçirilmesi, ele geçirilen hesabın diğer platform hizmetlerine erişim sağlaması, kullanıcının şifresini diğer hesaplar için yeniden kullanması veya belirli bir e-posta ele geçirme durumunda saldırganlara hesap sıfırlama iş akışlarını kötüye kullanma fırsatı sunması durumunda bir kademeye yol açabilir. ele geçirilen hesabın bunlardan birine bağlı olması umuduyla, ele geçirilen kimlik bilgileri ile birlikte diğer sistemler/hizmetler için, bu da daha fazla nihai ele geçirmeye yol açacaktır.
Darren James, Kıdemli Ürün Müdürü, Specops Yazılımı – Bir Karakol24 Şirket şunları ekledi:
“Geçmişte insanlar kişisel e-posta adreslerini kullanmak yerine, kullanılmayacak e-posta adresleri oluşturmak için sıklıkla Google gibi ücretsiz hizmetleri kullanıyordu. Bu posta kutuları belirli bir görev için kullanılıp sonra unutulabilir. Bu, Google platformundaki kaynakları tüketir ancak aynı zamanda başka potansiyel risklere de sahiptir.
- Genellikle berbat şifreleri vardır, belki de normal Google e-posta hesapları ve kullandıkları diğer çevrimiçi hizmetlerle aynı şifreler.
- Nadiren 2fa etkindir.
- Bu posta kutularındaki gönderilen veya alınan e-postalar, onları oluşturan gerçek kullanıcı hakkında hassas bilgiler içerebilir.
- Kimlik avı dolandırıcılığı, kötü amaçlı yazılım ve hesap ele geçirme saldırıları başlatmak için kullanılabilirler.
“Bu onları tehdit aktörleri için harika bir hedef haline getiriyor, dolayısıyla Google’ın “evi temizlemesi” nedeniyle takdir edilmesi gerekiyor. Bazı kişiler için muhtemelen bir miktar veri kaybı yaşanacaktır, ancak güvenlik açısından bakıldığında bu kesinlikle mantıklıdır.”
Diğer bir sorun da, karmaşık sosyal mühendislik saldırılarına yol açan kimliğe bürünme sorunudur. Comparitech Güvenlik Uzmanı Brian Higgins, “Paylaşılan kimlik doğrulamanın yanı sıra, güvenliği ihlal edilmiş hareketsiz hesapların en tehlikeli yönlerinden biri de taklit edilmesidir” dedi.. “Kişilere ve eski e-posta konuşmalarına erişim sayesinde, hesap sahibinden dolandırıcılık veya gasp amacıyla gönderildiği iddia edilen inandırıcı ve inandırıcı bir mesaj oluşturmak çok kolaydır. Hesabın niteliğine bağlı olarak, kötü niyetli aktörlerin suç işlemesine daha fazla olanak sağlayacak finansal veya ticari bilgileri saklayabilir.”
Kendisi şöyle devam etti: “Tüm bu güvenlik açıklarını azaltmak için hesapların vb. ‘yabancı otlarla temizlenmesi’ yaygın olarak kabul görmektedir, ancak çoğu yerleşik platformun bu konu lansman sırasında dikkate alınmadığından herhangi bir protokolü yoktur. 2050 yılına gelindiğinde Facebook’ta canlı hesap sahiplerinden daha fazla ölü insan olacağı tahmin ediliyor ve bir Twitter/X hesabını silebilecek tek kişi hesap sahibi olacak; dolayısıyla, bu kadar büyük bir hesap tabanını sürdürmek için gereken sunucu kaynağıyla birlikte Google’ın sürdürülebilirlik açısından tüm büyük teknolojilerin aktif olmayan kullanıcıları kaldırmanın yollarını araştırması mantıklı.”