Siber Guvenlik

Kurumsal GitHub Hesapları Nasıl Tehdit Unsuru Haline Geliyor? Pasif Hesapların Siber Riskleri

GitHub’daki uzun süredir kullanılmayan hesaplar, saldırganların saldırılarını gizlemelerine ve şirketlerin organizasyon haritalarını çıkarmalarına yardımcı oluyor. Datadog’un uyarısına göre, bu hesaplar ciddi siber tehditlere yol açıyor.

I
ITWISE
6 görüntülenme
Kurumsal GitHub Hesapları Nasıl Tehdit Unsuru Haline Geliyor? Pasif Hesapların Siber Riskleri

Son dönemde siber güvenlik dünyasında dikkatleri üzerine çeken bir tehdit, uzun süredir kullanılmayan ve 'hayalet' olarak adlandırılan GitHub hesapları üzerinden gerçekleşiyor. Datadog Security Labs, kurumsal organizasyonların, depo (repository) ve kullanıcı hesaplarının sistematik olarak haritalandırıldığı bir dizi saldırı kampanyasının varlığını ortaya koydu.

Bu saldırılar, GitHub API’sini kullanarak otomatik tarama araçlarıyla gerçekleştiriliyor. Saldırganlar, genellikle yıllardır kullanılmayan ve 'hayalet hesap' olarak adlandırılan profilleri, meşru kullanıcı adlarıyla ya da meşru görünen kullanıcı ajanlarıyla (user agent) gizliyor. Ayrıca, OAuth token’ları ve kişisel erişim anahtarlarının kötüye kullanılması da bu saldırıların bir parçası olarak tespit edildi.

Saldırganların Taktikleri: Gizlenmek ve Kurumsal Ağlara Sızmak

Siber suçlular, saldırılarını gerçekleştirirken çeşitli taktikler kullanıyor. Bunlardan ilki, otomatik tarama araçları aracılığıyla GitHub API’sine yapılan sürekli istekler. Bu istekler, genellikle meşru görünen kullanıcı ajanlarıyla gerçekleştiriliyor ve normal trafik gibi algılanmaları sağlanıyor. Örneğin, 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)' gibi standart kullanıcı ajanları kullanılarak, saldırganların kimlikleri gizleniyor.

Bunun yanı sıra, saldırganlar yıllardır kullanılmayan hesapları kullanarak, kurumsal organizasyonların gizli kalmış depo ve kullanıcı bilgilerine erişmeye çalışıyor. Bu hesaplar, genellikle şirketlerin eski çalışanlarına ait olup, hesapların devre dışı bırakılmaması nedeniyle saldırganların eline geçiyor. Bu şekilde, saldırganlar, kurumsal ağlara sızmak için gereken haritalandırma çalışmalarını gizlice gerçekleştirebiliyor.

OAuth Token’larının Kötüye Kullanılması ve Riskler

Saldırganların kullandığı bir diğer taktik ise OAuth token’larının ele geçirilmesi. OAuth token’ları, kullanıcıların üçüncü parti uygulamalara erişim izni verdiği anahtarlardır. Bu token’lar, saldırganlar tarafından ele geçirildiğinde, kurumsal organizasyonlara ve depolara yetkisiz erişimler sağlanabiliyor. Özellikle, eski çalışanlara ait token’ların kullanılmaması, bu riski daha da artırıyor.

Datadog’un uyarısına göre, bu tür saldırılar sadece GitHub ile sınırlı değil. Benzer saldırı yöntemleri, diğer bulut tabanlı hizmetlerde de kullanılabiliyor. Bu nedenle, şirketlerin hem eski hesapları devre dışı bırakmaları hem de OAuth token’larının yönetimini sıkı bir şekilde yapmaları gerekiyor.

Kurumsal Güvenlik için Öneriler

Bu tehditlere karşı alınabilecek önlemler arasında birkaç önemli adım bulunuyor:

  • Hesap Temizliği: Şirketler, uzun süredir kullanılmayan hesapları ve depo izinlerini düzenli olarak kontrol etmeli ve gerekirse hesapları devre dışı bırakmalı.
  • Token Yönetimi: OAuth token’ları ve kişisel erişim anahtarları sıkı bir şekilde yönetilmeli, eski token’lar derhal iptal edilmeli.
  • Günlük Kontroller: GitHub API’sine yapılan olağan dışı istekler ve giriş denemeleri için sürekli izleme yapılmalı. Bu sayede, saldırganların varlığı erken tespit edilebilir.
  • Çoklu Faktörlü Kimlik Doğrulama (MFA): Kurumsal hesaplarda ve depolarda, çoklu faktörlü kimlik doğrulama kullanılarak yetkisiz erişimler engellenebilir.
  • Eğitim ve Farkındalık: Çalışanlara, siber güvenlik tehditleri ve en iyi uygulamalar hakkında düzenli eğitimler verilmeli. Bu sayede, hem eski hesapların devre dışı bırakılması hem de token yönetimi konusunda bilinç artırılabilir.

Sonuç: Pasif Hesaplar Artık Tehdit Unsuru

Uzun süredir kullanılmayan ve 'hayalet' olarak adlandırılan hesaplar, artık sadece birer kayıp veri değil, aynı zamanda ciddi siber tehditlere de yol açabiliyor. Şirketlerin, bu hesapların varlığını sürekli olarak kontrol etmeleri ve gerekli önlemleri almaları gerekiyor. Aksi halde, saldırganlar bu hesapları kullanarak kurumsal ağlara sızabilir ve ciddi veri kayıplarına yol açabilir.

Güvenlik stratejilerini güncelleyen ve eski hesapların devre dışı bırakılması gibi basit ancak etkili adımları atan şirketler, bu tehditlerden daha az etkileniyor. Unutulmamalıdır ki, siber güvenlikte en zayıf halka, genellikle en basit adımların atlanmasıdır.