McGraw Hill Veri İhlali Analizi
Bu makale, ShinyHunters grubu tarafından gerçekleştirilen ve 13.5 milyon kullanıcı hesabını etkileyen McGraw Hill veri ihlalini teknik bir perspektifle ele almaktadır. İhlal, şirketin Salesforce ortamına yetkisiz erişim sağlanmasıyla gerçekleşmiştir.
İhlalin Teknik Kök Nedeni
Saldırganlar, bulut tabanlı CRM sistemlerindeki konfigürasyon hatalarından veya zayıf kimlik doğrulama mekanizmalarından yararlanarak hassas verilere erişim sağlamıştır. Bu tür olaylar, SaaS (Hizmet Olarak Yazılım) platformlarının güvenliğinin, kurum içi altyapı güvenliği kadar kritik olduğunu göstermektedir.
Çözüm ve Güvenlik Adımları
- Çok Faktörlü Kimlik Doğrulama (MFA): Salesforce ve benzeri tüm platformlarda MFA zorunlu kılınmalıdır.
- Erişim Kontrol Listeleri (ACL): 'En az ayrıcalık' ilkesi uygulanarak kullanıcı yetkileri sınırlandırılmalıdır.
- API Güvenliği: Salesforce API entegrasyonları düzenli olarak denetlenmeli ve IP kısıtlamaları getirilmelidir.
- Log İzleme: SIEM sistemleri üzerinden olağandışı veri dışa aktarma (export) faaliyetleri izlenmelidir.
Uyarı: Bulut ortamlarında varsayılan ayarlar genellikle güvenlik odaklı değildir. Dağıtım öncesi mutlaka bir 'Hardening' (Sıkılaştırma) kontrol listesi uygulanmalıdır.
İzleme ve Denetim Komutları
Salesforce üzerinde oturumları ve yetkisiz erişimleri denetlemek için aşağıdaki sorgu yapısı kullanılabilir:
SELECT UserId, SourceIp, LoginTime, Status FROM LoginHistory WHERE Status != 'Success' AND LoginTime = LAST_N_DAYS:30Veri dışa aktarma faaliyetlerini izlemek için ise Event Monitoring loglarını şu şekilde sorgulayabilirsiniz:
SELECT EventType, LogDate, UserId FROM EventLogFile WHERE EventType = 'ReportExport'Sonuç olarak, SaaS platformlarının güvenliği paylaşımlı bir sorumluluktur. McGraw Hill vakası, verilerin sadece depolandığı yerde değil, erişildiği uç noktalarda da korunması gerektiğini kanıtlamaktadır. Kurumsal güvenlik politikalarınızı gözden geçirin ve düzenli sızma testleri gerçekleştirin.
