Alan adlarını alan adı kayıt kuruluşu Squarespace aracılığıyla yöneten birden fazla firma, geçtiğimiz hafta ele geçirme vakaları bildirdi. Squarespace alan adı ele geçirme olayı, Squarespace’in geçen yıl Google Domains varlıklarını satın almasının ardından ortaya çıkan güvenlik açıklarının bir sonucuydu. Google domains’in eski müşterileri, platformda hesap açmayı başaramadıkları için ele geçirme olayının kurbanı oldular.
Squarespace Alan Adı Kaçırma Ayrıntılı Olarak
Merkezi New York City’de bulunan Squarespace, Haziran 2023’te Google Domains’den yaklaşık 10 milyon alan adı satın aldı ve bu alan adlarını kademeli olarak kendi hizmetine aktarıyor.
Alan adı korsanlığı istismarı esas olarak 9-12 Temmuz tarihleri arasında gerçekleşti. Siber saldırganlar esas olarak Bitcoin şirketlerini hedef aldılar Celer Ağı, Bileşik Finans, Pendle Finansve Durdurulamaz Alan Adları.
KrebOnSecurity’nin bir makalesine göre saldırganlar, Google kaydı olmadan taşınan ve bunun yerine etki alanına bağlı bir e-posta adresi kullanan Squarespace hesaplarının kontrolünü ele geçirebildiler. Birkaç durumda, suçlular ele geçirilen etki alanlarını, şüphesiz kişilerden kripto para birimi fonlarını çalmak için tasarlanmış kimlik avı web sitelerine yönlendirdiler.
Yayınlanma zamanı itibariyle Squarespace, ele geçirme olayına henüz bir yanıt vermedi veya konu hakkında bir kamu açıklaması yapmadı.
Güvenlik Uzmanları Squarespace’in Açığını Açıklıyor
Metamask ve Paradigm araştırmacıları tarafından yürütülen bir çalışma, ele geçirmelerin ana nedeninin Squarespace’in tüm kullanıcıların Google Domains’den göç edeceğini ve ardından “E-postayla devam et” seçeneği yerine “Google ile devam et” veya “Apple ile devam et” gibi sosyal oturum açma seçeneklerini seçeceğini varsayması olabileceğini ileri sürüyor.
Metamask’ın önde gelen ürün yöneticisi Taylor Monahan, Squarespace’in, gerçek hesap sahibinin hesaba erişmesinden önce, yakın zamanda taşınmış bir etki alanına bağlı bir e-posta adresiyle bir hesap kaydedebileceği ihtimalini göz önünde bulundurmadığını vurguladı.
Monahan, KrebsOnSecurity’ye “Sonuç olarak, onları bir e-posta adresiyle oturum açmaya çalışmaktan alıkoyan hiçbir şey yok” dedi. “Hesapta bir parola ayarlanmadığı için, onları yalnızca ‘yeni hesabınız için parola oluşturma’ sürecine yönlendiriyor. Ve hesap arka uçta kısmen başlatıldığı için, artık söz konusu etki alanı üzerinde kontrole sahipler.”
Monahan ayrıca, e-postayla yeni hesap kaydı yapılması durumunda e-postaların doğrulanmasının da gerekmediğini açıkladı.
Monahan, Google’dan Squarespace’e yapılan alan adı transferlerinin kamuya açık kayıtlar olduğunu söyledi.
“Bu, bir alan adı üzerinde hangi e-posta adreslerinin yönetim kontrolüne sahip olduğuyla ilgili kamuya açık veya kolayca elde edilebilir bir bilgidir. E-posta adresi daha önce bir Squarespace hesabı çekmek için kullanılmadıysa, Squarespace formunda bu email@domain kombinasyonunu giren herkesin artık alan adı üzerinde tam kontrole sahip olması mümkündür.”
Saldırganlar, etki alanının halihazırda aktif kullanıcıları olan daha düşük ayrıcalıklı hesapların e-posta adreslerini ele geçirmeyi başardığında bir ihlal mümkün olur; örneğin, etki alanının kontrolünü devredebilen veya başka bir internet konumuna yönlendirebilen birkaç kişiden biri olan “etki alanı yöneticisi”.
Monahan, kullanıcıların hesap etkinliğini izlemek için çok az seçeneğe sahip olduğunu ekledi. “Temel olarak farklı kişilerin sahip olduğu erişim üzerinde hiçbir kontrolünüz yok. Hiçbir denetim kaydınız yok. Bazı eylemler için e-posta bildirimleri almıyorsunuz. Sahip, bir ‘alan yöneticisi’ tarafından gerçekleştirilen eylemler için e-posta bildirimi almıyor. Google’ın sağladığı kontrollere alışkınsanız ve bunları bekliyorsanız bu kesinlikle çılgınlık.”
Squarespace Kullanıcıları İçin Öneriler
Araştırmacılar, saldırganların etki alanına bağlı daha düşük ayrıcalıklı kullanıcı hesaplarına ait e-posta adreslerini (örneğin, bir etki alanını aktarma veya farklı bir internet adresine yönlendirme yeteneğine sahip olan “etki alanı yöneticisi”) keşfetmesi durumunda, bazı taşınan Squarespace etki alanlarının da ele geçirilmeye karşı savunmasız olduğunu tespit etti.
Monahan, geçiş sürecinin alan adı sahiplerine hesaplarını güvence altına alma ve izleme konusunda sınırlı seçenekler bıraktığı yönündeki endişelerini dile getirdi.
“Tamamlanması gereken ilk adımlardan biri, Squarespace’teki yeni hesabınıza hangi kişilerin erişebileceğini görmek için bir test yapmaktır,” diye tavsiyede bulunuyor. “Çoğu durumda ekipler hesapların varlığından bile haberdar değil.”
Araştırmacıların çalışması, Squarespace kullanıcı hesaplarının güvenliğini sağlamaya yönelik ayrıntılı bir kılavuz içeriyor ve Squarespace kullanıcılarını geçiş süreci sırasında devre dışı bırakılan çok faktörlü kimlik doğrulamayı etkinleştirmeye teşvik ediyor. Kılavuzda ayrıca artık ihtiyaç duyulmayan Squarespace kullanıcı hesaplarının silinmesi ve Google Workspace’te bayi erişiminin kaldırılmasından da bahsediliyor.
Yardım belgesinde, “Google Workspace’i Google Domains’den aldıysanız, yetkili bayiniz de Squarespace olabilir” ifadesi yer alıyor.
“Bu, Squarespace hesabınız olan herkesin, burada verilen talimatları izleyerek açıkça devre dışı bırakmadığınız sürece arka kapıdan Google Workspace’inize erişebileceği anlamına gelir; bu talimatlar şiddetle tavsiye edilir. İki hesaptan ziyade bir hesabı korumak daha güvenlidir.”