Bu haftanın başına kadar, ağ ekipmanı satıcılarına yönelik destek web sitesi Ardıç Ağları Müşterilerin hangi cihazları satın aldığının yanı sıra her ürünün garanti durumu, servis sözleşmeleri ve seri numaraları da dahil olmak üzere müşteri ürünlerine bağlı potansiyel olarak hassas bilgileri açığa çıkarıyordu. Juniper, o zamandan bu yana sorunu çözdüğünü ve verilerin yanlışlıkla açığa çıkmasının, destek portalında yakın zamanda yapılan bir yükseltmeden kaynaklandığını söyledi.
Sunnyvale, California merkezli Juniper Networks, yüksek güçlü İnternet yönlendiricileri ve anahtarları üretiyor ve ürünleri dünyanın en büyük kuruluşlarından bazılarında kullanılıyor. Bu haftanın başında KrebsOnSecurity, birkaç Juniper cihazının yönetiminden sorumlu bir okuyucunun, diğer Juniper müşterilerinin cihaz ve destek sözleşmesi bilgilerini bulmak için Juniper’in müşteri destek portalını kullanabileceğini öğrendiğini duydu.
Logan George Juniper ürünlerini kullanan bir kuruluşta çalışan 17 yaşında bir stajyerdir. İşvereninin isminin belirtilmemesi koşuluyla konuşan George, bu hafta başında belirli bir Juniper ürünü hakkında destek bilgisi ararken tesadüfen bu veri ifşasını bulduğunu söyledi.
George, normal bir müşteri hesabıyla oturum açtıktan sonra Juniper’in destek web sitesinin, diğer müşteriler tarafından satın alınan neredeyse tüm Juniper cihazları hakkında ayrıntılı bilgileri listelemesine olanak tanıdığını keşfetti. Şu tarihte aranıyor: Amazon.com Örneğin Juniper portalında onbinlerce kayıt döndürüldü. Her kayıtta cihazın modeli ve seri numarası, kurulduğu yaklaşık konum, cihazın durumu ve ilgili destek sözleşmesi bilgileri yer alıyordu.
George, Juniper destek portalında birkaç dakika araştırma yaptığında ürün ve destek bilgilerini bile görebildiğini söyledi. ABD Savunma Bakanlığı (DoD).
George, “Bildiğim bir şey varsa o da Savunma Bakanlığı’nın Juniper ürünlerini görememem gerektiğidir” dedi. “Fakat bu bilgi yüzlerce şirket için mevcuttu ve hangi ürünleri nereye kurduklarını görebiliyordum.”
Juniper destek portalının ifşa ettiği bilgiler. Resimde gösterilmeyen sütunlar arasında Seri Numarası, Yazılım Desteği Referans numarası, Ürün, Garanti Sona Erme Tarihi ve Sözleşme Kimliği yer almaktadır.
George, ifşa edilen destek sözleşmesi bilgilerinin potansiyel olarak hassas olduğunu, çünkü bunların hangi Juniper ürünlerinde kritik güvenlik güncellemelerinin bulunmadığını gösterdiğini söyledi.
George, “Destek sözleşmeniz yoksa güncellemeleri alamazsınız, bu kadar basit” dedi. “Seri numaralarını kullanarak hangi ürünlerin destek sözleşmesi kapsamında olmadığını görebiliyordum. Daha sonra seri numarası izleme sistemi aracılığıyla her cihazın gönderildiği yeri daraltabildim ve potansiyel olarak aynı yere gönderilenlerin tümünü görebiliyordum. Pek çok şirket anahtarlarını çok sık güncellemiyor ve ne kullandıklarını bilmek, birinin hangi saldırı vektörlerinin mümkün olduğunu bilmesini sağlıyor.”
Juniper yazılı bir açıklamada, verilerin açığa çıkmasının destek portalında yakın zamanda yapılan bir yükseltmenin sonucu olduğunu söyledi.
Açıklamada, “Sistemimizdeki kayıtlı kullanıcıların, hesaplarıyla ilişkili olmayan seri numaralarına erişmesine izin veren kasıtsız bir sorundan haberdar olduk” deniyor. “Bu sorunu çözmek için derhal harekete geçtik ve şu anda herhangi bir tanımlanabilir veya kişisel müşteri verisinin herhangi bir şekilde ifşa edildiğine inanmak için hiçbir nedenimiz yok. Bu konuları ciddiye alıyoruz ve benzer olayların tekrar yaşanmaması için bu deneyimlerden her zaman yararlanıyoruz. Bu kusurun temel nedenini belirlemek için aktif olarak çalışıyoruz ve bu konuyu dikkatimize sunduğu için araştırmacıya teşekkür ediyoruz.”
Şirket, bu aşırı hoşgörülü kullanıcı haklarının tam olarak ne zaman uygulamaya konulduğuna ilişkin bilgi taleplerine henüz yanıt vermedi. Ancak değişikliklerin tarihi, Juniper’ın müşteri destek portalını yeniden oluşturduğunu duyurduğu Eylül 2023’e kadar uzanabilir.
George, KrebsOnSecurity’ye Juniper’in destek web sitesinin arka ucunun şu şekilde desteklendiğini söyledi: Satış ekibive Juniper’ın büyük olasılıkla Salesforce varlıklarında uygun kullanıcı izinlerine sahip olmadığı ortaya çıktı. Nisan 2023’te KrebsOnSecurity, bankalar, sağlık hizmeti sağlayıcıları, eyalet ve yerel yönetimler de dahil olmak üzere şok edici sayıda kuruluşun, yanlış yapılandırılmış Salesforce kurulumları sayesinde özel ve hassas verileri sızdırdığını gösteren bir araştırma yayınladı.
Nicholas WeaverKaliforniya Üniversitesi, Berkeley Uluslararası Bilgisayar Bilimleri Enstitüsü’nde (ICSI) araştırmacı ve UC Davis’te öğretim görevlisi olan UC Davis, modern teknik destek portallarının karmaşıklığının hataya çok yer bıraktığını söyledi.
Weaver, “Bu, milyonlarca kullanıcıyı farklı erişim rolleriyle yönetebilmeniz gereken destek portalları gibi bu büyük sistemleri oluşturmanın ne kadar zor olduğunu hatırlatıyor” dedi. “Orada küçük bir hata çok komik sonuçlar doğurabilir.”
Geçen ay bilgisayar yapımcısı Hewlett Packard Enterprise 100 yıllık teknoloji şirketinin yapay zeka tekliflerini güçlendirmeye yardımcı olmak için Juniper Networks’ü 14 milyar dolara satın alacağını duyurdu.