Ernst & Young Üçüncü Parti Destek Sisteminin Saldırıya Uğramasıyla Ortaya Çıkan Veri İhlali Olayı

Ernst & Young, IT personeli tarafından kullanılan üçüncü parti destek bilet sistemi saldırıya uğradı ve müşterilerini veri ihlali konusunda bilgilendirdi.

I
ITWISE
2 görüntülenme
Ernst & Young Üçüncü Parti Destek Sisteminin Saldırıya Uğramasıyla Ortaya Çıkan Veri İhlali Olayı

Genel Bakış

Ernst & Young (EY), uluslararası bir danışmanlık ve denetim firması, üçüncü parti bir destek bilet sisteminin saldırıya uğraması sonucunda müşterilerinin verilerinin etkilendiğini açıkladı. Saldırganlar, EY'nin IT personeli tarafından kullanılan destek sistemine erişerek hassas müşteri bilgilerine erişim sağlamış olabilir. Bu olay, üçüncü parti tedarik zinciri saldırılarının kurumsal güvenlik üzerindeki ciddi tehditlerini bir kez daha gözler önüne sermektedir.

Olayın Detayları

Saldırının Keşfi ve Etkileri

EY, 2023 yılının son çeyreğinde gerçekleşen saldırıyı tespit etti ve ardından müşterilerini ve ilgili kurumları olası veri ihlali konusunda bilgilendirdi. Saldırının kaynağı, EY'nin IT personelinin günlük destek taleplerini yönetmek için kullandığı üçüncü parti bir destek bilet sistemi idi. Saldırganlar, bu sistemdeki güvenlik açıklarından yararlanarak yetkisiz erişim elde etmiş olabilir.

EY tarafından yapılan açıklamada, ihlalin kapsamının ve etkilenen verilerin tam olarak belirlenmesi için araştırmaların devam ettiği belirtildi. Şirket, müşterilerine ve yetkili mercilere gerekli bilgilendirmeleri yapmayı taahhüt etti. Ayrıca, saldırının kurumsal itibar ve müşteri güvenliği üzerindeki olası etkilerini en aza indirmek için ek önlemler alındığı vurgulandı.

Olası Veri Kaybı ve Müşteri Etkisi

Henüz tam olarak açıklanmamış olsa da, saldırının müşteri verilerinin bir kısmına erişildiği yönünde şüpheler bulunmaktadır. Bu veriler arasında aşağıdakiler yer alabilir:

  • Müşteri isimleri ve iletişim bilgileri
  • Hesap ve fatura bilgileri
  • İşlem geçmişleri ve finansal veriler
  • Diğer hassas kişisel veya ticari bilgiler

EY, müşterilerine kimlik hırsızlığı ve dolandırıcılık risklerine karşı uyarılarda bulundu ve gerekli koruma önlemlerini almaları konusunda tavsiyelerde bulundu.

Teknik Analiz ve Saldırının Yöntemi

Destek Bilet Sistemi ve Zayıf Noktalar

Üçüncü parti destek bilet sistemleri, genellikle çok sayıda kullanıcı ve kuruluş tarafından erişilen platformlardır. Bu sistemler, güvenlik açıkları barındırma riski yüksek sistemlerdir ve saldırganlar tarafından hedef alınabilir. EY'nin kullanmış olabileceği sistemde aşağıdaki zayıf noktalar bulunabilir:

  • Kimlik doğrulama mekanizmalarının zayıf olması: Çok faktörlü kimlik doğrulama (MFA) eksikliği.
  • Veri şifrelemesinin yetersiz olması: Verilerin depolanması ve iletimi sırasında yetersiz şifreleme.
  • Yazılım güncellemelerinin ihmal edilmesi: Sistemdeki güvenlik yamalarının düzenli olarak uygulanmaması.
  • Kullanıcı ayrıcalıklarının fazla olması: IT personeline geniş erişim yetkilerinin verilmesi.

Saldırının Olası Yöntemi

Saldırganlar, destek bilet sistemine erişmek için aşağıdaki yöntemleri kullanmış olabilir:

  1. Phishing saldırıları: IT personeline yönelik sahte e-postalar veya mesajlar yoluyla kimlik bilgilerinin çalınması.
  2. Kimlik avı siteleri: Kullanıcıları sahte giriş sayfalarına yönlendirme.
  3. Sıfırıncı gün saldırıları: Sistemdeki bilinmeyen güvenlik açıklarından yararlanma.
  4. Yetki yükseltme saldırıları: Mevcut kullanıcı hesaplarının yetkilerini artırma.

Çözüm Adımları ve İyileştirme Önerileri

Kurumsal Düzeyde Alınması Gereken Önlemler

EY ve benzeri kuruluşların üçüncü parti sistemlere yönelik saldırılardan korunmak için aşağıdaki adımları izlemeleri gerekmektedir:

1. Üçüncü Parti Sistemlerin Güvenliğinin Sağlanması

  1. Tedarikçi Risk Değerlendirmesi:
    • Üçüncü parti sistem sağlayıcılarının güvenlik sertifikalarını ve uyumluluk durumlarını inceleyin.
    • Tedarikçi sözleşmelerine güvenlik gereksinimleri ekleyin.
    • Düzenli olarak üçüncü parti sistemlerin güvenlik denetimlerini gerçekleştirin.
  2. Erişim Kontrolü ve Yetkilendirme:
    • Üçüncü parti sistemlere erişim sağlayan kullanıcıların en az yetki prensibini uygulamalarını sağlayın.
      # Örnek: Linux sistemlerinde kullanıcı yetkilerinin sınırlandırılması
      sudo usermod -aG sudo username  # Gereksiz yetkiler vermeyin
      chmod 700 /sensitive/directory  # Hassas dizinlere erişimi kısıtlayın
      
    • Çok faktörlü kimlik doğrulama (MFA) kullanımını zorunlu hale getirin.

2. Destek Bilet Sistemlerinin Güçlendirilmesi

  1. Güvenlik Duvarları ve İzleme Sistemleri:
    • Destek bilet sistemlerine güvenlik duvarı (WAF) ve saldırı tespit sistemleri (IDS/IPS) yerleştirin.
      # Örnek: ModSecurity (WAF) kurulumu
      sudo apt install libapache2-mod-security2
      sudo systemctl restart apache2
      
    • Sistemdeki olağandışı aktiviteleri SIEM (Security Information and Event Management) araçlarıyla izleyin.
  2. Veri Şifrelemesi ve Koruma:
    • Destek bilet sisteminde depolanan verileri şifreleyin.
      # Örnek: Veri tabanı şifreleme (MySQL)
      ALTER TABLE sensitive_data MODIFY COLUMN data VARCHAR(255) ENCRYPT;
      
    • Verilerin taşıma sırasında (in transit) ve depolama sırasında (at rest) şifrelendiğinden emin olun.
      # Örnek: TLS kullanımı (HTTPS)
      sudo apt install certbot python3-certbot-nginx
      sudo certbot --nginx -d support-system.example.com
      

3. Personel Eğitimi ve Farkındalık

  1. Siber Güvenlik Eğitimleri:
    • IT personeline phishing, sosyal mühendislik ve kimlik avı saldırıları hakkında eğitim verin.
      # Örnek: Phishing simülasyonu aracı (GoPhish)
      git clone https://github.com/gophish/gophish.git
      cd gophish && go build
      ./gophish
      
    • Düzenli olarak güvenlik tatbikatları yapın.
  2. İhlal Bildirim Prosedürleri:
    • Personelin güvenlik ihlallerini hızlı bir şekilde bildirebilmesi için prosedürler oluşturun.
    • Olağandışı aktiviteleri tespit eden personelin acil müdahale ekiplerine bildirimde bulunmasını sağlayın.

İpuçları ve Uyarılar

⚠️ Önemli Uyarı: Üçüncü parti sistemlere yapılan saldırılar, kurumsal güvenlik zincirinin en zayıf halkasından başlar. Bu nedenle, sadece kendi sistemlerinizin değil, tedarikçilerinizin ve ortaklarınızın güvenlik uygulamalarını da sürekli olarak denetlemelisiniz.

💡 İpucu: Destek bilet sistemlerinde API anahtarları ve oturum token'ları gibi hassas bilgileri saklamaktan kaçının. Bunun yerine, güvenilir bir kimlik yönetim sistemi kullanın.

🔒 En İyi Uygulama: Veri ihlallerine karşı sıfır güven (Zero Trust) modelini benimseyin. Bu modelde, hiçbir kullanıcı veya sistem varsayılan olarak güvenilir kabul edilmez ve her erişim talebi doğrulanır.

Sonuç ve Öneriler

Ernst & Young'ın yaşadığı bu veri ihlali, üçüncü parti sistemlerin güvenliğinin ne kadar kritik olduğunu bir kez daha göstermektedir. Kuruluşlar, tedarik zinciri risklerini minimize etmek ve müşteri verilerini korumak için aşağıdaki önerileri dikkate almalıdır:

  • Üçüncü parti sistem sağlayıcılarını düzenli olarak denetleyin ve güvenlik sertifikalarını doğrulayın.
  • Çok faktörlü kimlik doğrulama (MFA) ve sıfır güven modelini uygulayın.
  • Personelin siber güvenlik farkındalığını artırın ve düzenli eğitimler düzenleyin.
  • Verilerin şifrelemesini ve güvenli depolanmasını sağlayın.
  • Olağandışı aktiviteleri tespit etmek için izleme sistemleri kullanın.

Bu adımlar, kuruluşların üçüncü parti sistemlere yönelik saldırılara karşı daha dirençli hale gelmelerine yardımcı olacaktır. Unutulmamalıdır ki, güvenlik sadece teknolojiyle değil, aynı zamanda doğru süreçler ve bilinçli personel ile sağlanır.

Kaynaklar