Genel Bakış
Ernst & Young (EY), uluslararası bir danışmanlık ve denetim firması, üçüncü parti bir destek bilet sisteminin saldırıya uğraması sonucunda müşterilerinin verilerinin etkilendiğini açıkladı. Saldırganlar, EY'nin IT personeli tarafından kullanılan destek sistemine erişerek hassas müşteri bilgilerine erişim sağlamış olabilir. Bu olay, üçüncü parti tedarik zinciri saldırılarının kurumsal güvenlik üzerindeki ciddi tehditlerini bir kez daha gözler önüne sermektedir.
Olayın Detayları
Saldırının Keşfi ve Etkileri
EY, 2023 yılının son çeyreğinde gerçekleşen saldırıyı tespit etti ve ardından müşterilerini ve ilgili kurumları olası veri ihlali konusunda bilgilendirdi. Saldırının kaynağı, EY'nin IT personelinin günlük destek taleplerini yönetmek için kullandığı üçüncü parti bir destek bilet sistemi idi. Saldırganlar, bu sistemdeki güvenlik açıklarından yararlanarak yetkisiz erişim elde etmiş olabilir.
EY tarafından yapılan açıklamada, ihlalin kapsamının ve etkilenen verilerin tam olarak belirlenmesi için araştırmaların devam ettiği belirtildi. Şirket, müşterilerine ve yetkili mercilere gerekli bilgilendirmeleri yapmayı taahhüt etti. Ayrıca, saldırının kurumsal itibar ve müşteri güvenliği üzerindeki olası etkilerini en aza indirmek için ek önlemler alındığı vurgulandı.
Olası Veri Kaybı ve Müşteri Etkisi
Henüz tam olarak açıklanmamış olsa da, saldırının müşteri verilerinin bir kısmına erişildiği yönünde şüpheler bulunmaktadır. Bu veriler arasında aşağıdakiler yer alabilir:
- Müşteri isimleri ve iletişim bilgileri
- Hesap ve fatura bilgileri
- İşlem geçmişleri ve finansal veriler
- Diğer hassas kişisel veya ticari bilgiler
EY, müşterilerine kimlik hırsızlığı ve dolandırıcılık risklerine karşı uyarılarda bulundu ve gerekli koruma önlemlerini almaları konusunda tavsiyelerde bulundu.
Teknik Analiz ve Saldırının Yöntemi
Destek Bilet Sistemi ve Zayıf Noktalar
Üçüncü parti destek bilet sistemleri, genellikle çok sayıda kullanıcı ve kuruluş tarafından erişilen platformlardır. Bu sistemler, güvenlik açıkları barındırma riski yüksek sistemlerdir ve saldırganlar tarafından hedef alınabilir. EY'nin kullanmış olabileceği sistemde aşağıdaki zayıf noktalar bulunabilir:
- Kimlik doğrulama mekanizmalarının zayıf olması: Çok faktörlü kimlik doğrulama (MFA) eksikliği.
- Veri şifrelemesinin yetersiz olması: Verilerin depolanması ve iletimi sırasında yetersiz şifreleme.
- Yazılım güncellemelerinin ihmal edilmesi: Sistemdeki güvenlik yamalarının düzenli olarak uygulanmaması.
- Kullanıcı ayrıcalıklarının fazla olması: IT personeline geniş erişim yetkilerinin verilmesi.
Saldırının Olası Yöntemi
Saldırganlar, destek bilet sistemine erişmek için aşağıdaki yöntemleri kullanmış olabilir:
- Phishing saldırıları: IT personeline yönelik sahte e-postalar veya mesajlar yoluyla kimlik bilgilerinin çalınması.
- Kimlik avı siteleri: Kullanıcıları sahte giriş sayfalarına yönlendirme.
- Sıfırıncı gün saldırıları: Sistemdeki bilinmeyen güvenlik açıklarından yararlanma.
- Yetki yükseltme saldırıları: Mevcut kullanıcı hesaplarının yetkilerini artırma.
Çözüm Adımları ve İyileştirme Önerileri
Kurumsal Düzeyde Alınması Gereken Önlemler
EY ve benzeri kuruluşların üçüncü parti sistemlere yönelik saldırılardan korunmak için aşağıdaki adımları izlemeleri gerekmektedir:
1. Üçüncü Parti Sistemlerin Güvenliğinin Sağlanması
- Tedarikçi Risk Değerlendirmesi:
- Üçüncü parti sistem sağlayıcılarının güvenlik sertifikalarını ve uyumluluk durumlarını inceleyin.
- Tedarikçi sözleşmelerine güvenlik gereksinimleri ekleyin.
- Düzenli olarak üçüncü parti sistemlerin güvenlik denetimlerini gerçekleştirin.
- Erişim Kontrolü ve Yetkilendirme:
- Üçüncü parti sistemlere erişim sağlayan kullanıcıların en az yetki prensibini uygulamalarını sağlayın.
# Örnek: Linux sistemlerinde kullanıcı yetkilerinin sınırlandırılması sudo usermod -aG sudo username # Gereksiz yetkiler vermeyin chmod 700 /sensitive/directory # Hassas dizinlere erişimi kısıtlayın - Çok faktörlü kimlik doğrulama (MFA) kullanımını zorunlu hale getirin.
- Üçüncü parti sistemlere erişim sağlayan kullanıcıların en az yetki prensibini uygulamalarını sağlayın.
2. Destek Bilet Sistemlerinin Güçlendirilmesi
- Güvenlik Duvarları ve İzleme Sistemleri:
- Destek bilet sistemlerine güvenlik duvarı (WAF) ve saldırı tespit sistemleri (IDS/IPS) yerleştirin.
# Örnek: ModSecurity (WAF) kurulumu sudo apt install libapache2-mod-security2 sudo systemctl restart apache2 - Sistemdeki olağandışı aktiviteleri SIEM (Security Information and Event Management) araçlarıyla izleyin.
- Destek bilet sistemlerine güvenlik duvarı (WAF) ve saldırı tespit sistemleri (IDS/IPS) yerleştirin.
- Veri Şifrelemesi ve Koruma:
- Destek bilet sisteminde depolanan verileri şifreleyin.
# Örnek: Veri tabanı şifreleme (MySQL) ALTER TABLE sensitive_data MODIFY COLUMN data VARCHAR(255) ENCRYPT; - Verilerin taşıma sırasında (in transit) ve depolama sırasında (at rest) şifrelendiğinden emin olun.
# Örnek: TLS kullanımı (HTTPS) sudo apt install certbot python3-certbot-nginx sudo certbot --nginx -d support-system.example.com
- Destek bilet sisteminde depolanan verileri şifreleyin.
3. Personel Eğitimi ve Farkındalık
- Siber Güvenlik Eğitimleri:
- IT personeline phishing, sosyal mühendislik ve kimlik avı saldırıları hakkında eğitim verin.
# Örnek: Phishing simülasyonu aracı (GoPhish) git clone https://github.com/gophish/gophish.git cd gophish && go build ./gophish - Düzenli olarak güvenlik tatbikatları yapın.
- IT personeline phishing, sosyal mühendislik ve kimlik avı saldırıları hakkında eğitim verin.
- İhlal Bildirim Prosedürleri:
- Personelin güvenlik ihlallerini hızlı bir şekilde bildirebilmesi için prosedürler oluşturun.
- Olağandışı aktiviteleri tespit eden personelin acil müdahale ekiplerine bildirimde bulunmasını sağlayın.
İpuçları ve Uyarılar
⚠️ Önemli Uyarı: Üçüncü parti sistemlere yapılan saldırılar, kurumsal güvenlik zincirinin en zayıf halkasından başlar. Bu nedenle, sadece kendi sistemlerinizin değil, tedarikçilerinizin ve ortaklarınızın güvenlik uygulamalarını da sürekli olarak denetlemelisiniz.
💡 İpucu: Destek bilet sistemlerinde API anahtarları ve oturum token'ları gibi hassas bilgileri saklamaktan kaçının. Bunun yerine, güvenilir bir kimlik yönetim sistemi kullanın.
🔒 En İyi Uygulama: Veri ihlallerine karşı sıfır güven (Zero Trust) modelini benimseyin. Bu modelde, hiçbir kullanıcı veya sistem varsayılan olarak güvenilir kabul edilmez ve her erişim talebi doğrulanır.
Sonuç ve Öneriler
Ernst & Young'ın yaşadığı bu veri ihlali, üçüncü parti sistemlerin güvenliğinin ne kadar kritik olduğunu bir kez daha göstermektedir. Kuruluşlar, tedarik zinciri risklerini minimize etmek ve müşteri verilerini korumak için aşağıdaki önerileri dikkate almalıdır:
- Üçüncü parti sistem sağlayıcılarını düzenli olarak denetleyin ve güvenlik sertifikalarını doğrulayın.
- Çok faktörlü kimlik doğrulama (MFA) ve sıfır güven modelini uygulayın.
- Personelin siber güvenlik farkındalığını artırın ve düzenli eğitimler düzenleyin.
- Verilerin şifrelemesini ve güvenli depolanmasını sağlayın.
- Olağandışı aktiviteleri tespit etmek için izleme sistemleri kullanın.
Bu adımlar, kuruluşların üçüncü parti sistemlere yönelik saldırılara karşı daha dirençli hale gelmelerine yardımcı olacaktır. Unutulmamalıdır ki, güvenlik sadece teknolojiyle değil, aynı zamanda doğru süreçler ve bilinçli personel ile sağlanır.



