Araştırmacılar, aksi takdirde olumlu olacak bir Avrupa veri düzenlemesinin bireylere ve çalıştıkları şirketlere büyük riskler getirdiği konusunda uyarıyorlar.
Geçişinden bu yana Genel Veri Koruma Yönetmeliği (GDPR)Avrupa’daki ve dünyanın birçok yerindeki internet kullanıcıları, web sitelerinin kendileri hakkında kaydettiği verilerin tamamını indirebildi. Gizlilik ve şeffaflığa yönelik bariz faydaların yanı sıra, fikir taşınabilirlikti: Herkes bir sitenin kendisi hakkında sahip olduğu verileri alıp başka bir siteye aktarabilirdi.
Yeni bir blog yazısında CyberArk, bu yeni veri taşınabilirliği hakkının teorik ancak ciddi bir maliyetinin altını çiziyor. Kuraldan önce herkesin en hassas verileri, ultra güvenli veri merkezlerinde tuğla duvarların arkasında korunuyordu. Artık kullanıcılar bu verileri bulut tabanlı bir mekanizma aracılığıyla alabildiğinden, bilgisayar korsanları hesaplarına erişip hepsini çalabilir. Bugün web sitelerinin hakkımızda topladığı verilerin boyutu göz önüne alındığında, kötüye kullanım olasılıklarının sonsuz olduğu görülmektedir.
“Bu benim yasal hakkım ve bunu yapabilecek durumda olmam gayet iyi. [of seeing] hakkımda hangi bilgiler tutuluyor” diyor CyberArk Laboratuvarları tehdit araştırmacısı Lior Yakim, saldırıyı “Beyaz FAANG” olarak adlandırıyor çünkü savunmasız veriler Facebook, Amazon, Apple, Netflix gibi büyük teknoloji şirketlerinin sağladığı hizmetlerden dışarı aktarılabiliyor ve Google (FANG).
Ancak şu uyarıda bulunuyor: “Bu son derece müdahaleci bilgilerin tümüne ulaşmak çok kolay olduğundan – insanların aynı cihazları kurumsal ve kişisel amaçlar için kullanması gerçeğiyle birlikte – büyük bir risk var.”
Sitelerin Hakkınızda Sahip Olduğu Veriler
Şirketler, özellikle de çevrimiçi yaşamlarımızın en merkezinde yer alan en büyük teknoloji şirketleri olmak üzere tonlarca hassas bilgiyi biriktiriyor. En hassas kişisel kimlik bilgilerimizden (PII) çevrimiçi aktivitelerimizin uzun geçmişlerine kadar her şeye sahiptirler. Ancak en yorgun İnternet kullanıcıları bile bu deliğin bu kadar derine inmesine şaşırabilir.
Örneğin meta, yalnızca belgelenmiş Facebook etkinliğinizi değil aynı zamanda hangi gönderileri görüntülediğiniz ve bunları tam olarak ne kadar süreyle görüntülediğiniz gibi birçok belgelenmemiş veriyi de kaydeder.
Benzer şekilde Google, yalnızca tüm arama geçmişinizi değil, yazdığınız ancak sonuçta yürütmediğiniz aramaları da kaydeder.
GDPR’nin iyi niyetli veri taşınabilirliği düzenlemeleri, şirketleri tüm bu bilgileri tek bir tıklamayla makine tarafından okunabilir bir formatta dışa aktarılabilir hale getirmeye zorladı. Peki hesabınızı ele geçiren bir bilgisayar korsanının bunu yapmasını engelleyen nedir? Yakim, “En yaygın koruma aslında çok faktörlü kimlik doğrulamadır (MFA). Ancak bildiğimiz gibi MFA atlanabilir.”
Bireylere ve Kurumlara Yönelik Riskler
Dışa aktarma verileriyle bir saldırganın yapabileceklerinin sınırı yoktur. Size şantaj yapmak için Google arama geçmişinizi, nerede yaşadığınızı bulmak için Meta’daki GPS verilerinizi ve nerede olduğunuzu ve nerede olacağınızı bilmek için Apple takvim geçmişinizi kullanabilirler; siber saldırıların sonsuz olasılıklarından bahsetmeye bile gerek yok. .
Tüm bunların ötesinde, işverenlere yönelik risk de var. Bireysel hesaplar, çalıştıkları şirketlere ait her türlü veriyi barındırabilir veya başka şekilde bu şirketlere saldırmak için kullanılabilir.
Tekrar ediyorum, senaryolar sınırsızdır. Örneğin bir Apple dışa aktarma işleminde bir bilgisayar korsanı, bir çalışanın yama yapılmamış AirPod’larıyla ilişkili MAC adresini alabilir, bir Bluetooth bağlantısını taklit edebilir, istismar edebilir. CVE-2024-27867 onlara erişim sağlamak ve ardından kurumsal toplantıları dinlemek için. Veya Yakim, çalışanın cep telefonunun işletim sistemi sürümü gibi bilgilerden yararlanabileceklerini öne sürüyor. “Örneğin, çalışanın mobil cihazının güncel olmadığını biliyorsam, bu çalışanı hedeflemek için bilinen belirli güvenlik açıklarını arayabilirim” diyor.
Ve bundan çok daha basit, daha güncel tehlikeler var. CyberArk 14.000 çalışanla anket yaptı ve yaklaşık %63’ünün kişisel hesaplarını iş bilgisayarlarında kullandığını ve %80’inin iş uygulamalarına kişisel bilgisayarlarından eriştiğini buldu. Bu gelişme sayesinde iş parolaları, dışa aktarılabilecekleri çok daha az güvenli kişisel hesaplarda saklanma eğilimindedir. Bu nasıldı Cisco 2022’de ihlal edildiVe 2023 yılında Oktaöyle bir durum ki müşterilerinin her birini etkiledi ilave olarak.
Bunun olmasını önlemek için çalışanların işleri ile çevrimiçi keyifleri arasında net bir çizgi çekmeleri gerekiyor. Yakim, “Kişisel hesaplar kurumsal hesaplara göre daha az güvenlidir” diyor. “Burada vermeye çalıştığımız mesaj bu.”