Optus Veri İhlali Nasıl Gerçekleşti ve Bundan Nasıl Kaçınılır?

1. Giriş#

Eylül 2022'de Avustralya'nın önde gelen telekomünikasyon sağlayıcılarından biri olan Optus, yaklaşık 10 milyon müşterisinin kişisel bilgilerini açığa çıkaran bir veri ihlali yaşadı. Bu olay, Avustralya tarihindeki en büyük siber saldırılardan biri olarak kayıtlara geçti ve ülkede veri gizliliği ile güvenlik uygulamaları konusunda büyük endişelere yol açtı.

Bu makale aşağıdaki sorulara odaklanacaktır:

• Optus'un veri ihlaline yol açan güvenlik açıkları nelerdi?
• Optus, güvenlik ihlalini önlemek için ne gibi karşı önlemler alabilirdi?

2. Optus veri ihlaline yol açan güvenlik açıkları#

Aşağıda, Optus'taki veri ihlalinin 5 güvenlik açığını bulacaksınız.

2.1 Güvenlik Açığı #1: İfşa olmuş halka açık API#

Optus ihlalindeki ilk büyük güvenlik açığı, hassas dahili verilere erişimi kolaylaştıran halka açık bir API'nin (Uygulama Programlama Arayüzü) kullanılmasıydı. Halka açık API'ler, harici sistemlerin bir şirketin hizmetleriyle etkileşime girmesini sağlamak için tasarlanmıştır, ancak bu API'ler düzgün bir şekilde güvence altına alınmadığında, saldırganlar için bir geçit haline gelebilirler.

Halka açık API'ler ne için kullanılır?

Örneğin Google Maps API veya Hava Durumu API'si gibi güvenli halka açık API'ler, harici sistemlere sınırlı, hassas olmayan veriler sağlar. Paylaşılan verileri temel iş operasyonlarından izole edecek şekilde tasarlandıkları için doğaları gereği daha güvenlidirler.

Halka açık API'ler bu durumda neden bir sorundur?

Güvenli API'lerin aksine, Optus API'si hassas müşteri bilgilerini açığa çıkardı ve temel önlemlerden yoksundu. Bu, internet taramaları yoluyla onu bulabilen saldırganlara karşı onu savunmasız hale getirdi.

Saldırganlar bu API'yi nasıl istismar edebilir?

Kimlik doğrulama veya veri izolasyonu olmadan, saldırganlar dahili güvenlik önlemlerini aşarak doğrudan API'ye bağlanabilir ve gizli müşteri bilgilerini alabilir.

2.2 Güvenlik Açığı #2: Hassas müşteri verilerine erişim sağlayan güvenliksiz API#

Optus veri ihlalindeki ikinci büyük güvenlik açığı, API'nin güvence altına alınmamış olmasıydı. Bu nedenle son derece hassas müşteri verilerine erişim izni verdi. İlk sorun API'nin halka açık olması etrafında dönerken, buradaki kritik sorun, gizli bilgilere sınırsız erişime izin veren uygun erişim kontrollerinin olmamasıydı.

Bir Optus müşterisi, Optus mobil uygulaması veya web sitesi aracılığıyla hesabına eriştiğinde, API'ler gerekli verileri almak için ön uç ile arka uç sistemleri arasındaki iletişimi kolaylaştırır. Bu arka uç süreçleri genellikle müşteri profillerini yüklemek için hassas bilgileri işler.

Bu vakada, ifşa edilen API saldırganlara kimlik hırsızlığı ve dolandırıcılık için özellikle değerli olan aşağıdaki kişisel veri türlerine doğrudan erişim sağladı:

• Sürücü belgesi numaraları • Telefon numaraları • Doğum tarihleri • Ev adresleri

Daha sonra herkese açık Alan Adı Sistemi (DNS) kayıtlarının analizi, bu API'nin muhtemelen halka açık olduğunu ve üç aya kadar internet üzerindeki herkes tarafından erişilebilir olduğunu ortaya çıkardı.

2.3 Güvenlik Açığı #3: Artan müşteri tanımlayıcılarının kullanımı#

Optus veri ihlalindeki üçüncü güvenlik açığı, artan müşteri tanımlayıcılarının (ID) kullanılmasıydı. Dijital dünyada, rastgele rakam ve harf dizilerinden oluşan benzersiz müşteri tanımlayıcıları, hesapları güvenli bir şekilde ayırt etmek için kullanılır. En iyi siber güvenlik uygulamaları, hackerların kalıpları belirlemesini önlemek için bu tanımlayıcıların rastgele olmasını ve birbiriyle ilişkili olmamasını şart koşar.

Optus müşteri tanımlayıcısı: Bu vakada, müşteri tanımlayıcıları öngörülebilir bir model izledi ve 1 artarak farklılık gösterdi. Örneğin, bir müşterinin tanımlayıcısı 5332 ise, bir sonraki 5333 olurdu. Hacker veritabanına erişim sağladığında, sadece tanımlayıcıyı artırarak her kaydı almak için otomatik bir komut dosyası yazabilirdi.

Bu otomatik yaklaşım, veri hırsızlığı sürecini hızlandırarak saldırganın hassas müşteri verilerini büyük ölçekte sızdırmasına olanak tanıdı. Öngörülebilir tasarım hatası, Optus ihlalinin normalde olabileceğinden daha hızlı gerçekleşmesini ve daha fazla müşteriyi etkilemesini sağladı.

2.4 Güvenlik Açığı #4: Bir kodlama hatası nedeniyle zayıflayan erişim kontrolleri#

API ve müşteri kimliği güvenlik açıklarının yanı sıra daha fazla güvenlik sorunu vardı: 2018'de, bir kodlama hatası belirli Optus alan adlarındaki erişim kontrollerini zayıflatarak onları daha az güvenli hale getirdi. Optus bu sorunu Ağustos 2021'de ana web sitesinde düzeltmiş olsa da, aynı düzeltmeyi internetten erişilebilen ikincil bir web sitesine uygulayamadı. Bu ikincil alan adı, ihlalin Eylül 2022'de keşfedilmesine kadar savunmasız kaldı.

Bu gözden kaçırma, önemli bir güvenlik boşluğu bıraktı. Halka açık alan adları, saldırganlar için yaygın bir hedeftir ve yamanmamış herhangi bir kusur, yetkisiz erişim riskini artırır. Bu durumda, kodlama hatası saldırganların erişim kontrollerini aşarak hassas verilere erişmesini mümkün kıldı.

İkincil veya daha az görünür alan adlarını gözden kaçırmak, saldırganların kolayca istismar edebileceği kritik güvenlik açıklarını açık bırakabilir. Güvenlik güncellemelerinin gereken her yere uygulanmasını sağlamak için düzenli denetimler ve kapsamlı testler şarttır.

2.5 Güvenlik Açığı #5: Savunmasız ikinci alan adı#

Bu uygun gözetim eksikliği, ihlalde kilit bir rol oynayan ikincil alan adına kadar uzandı. Alan adı aktif olarak kullanımda olmasa da, uzun bir süre çevrimiçi ve korumasız kaldı. Günlük operasyonlar için gereksiz olmasına rağmen, ne uygun erişim kontrolleriyle güvence altına alındı ne de devreden çıkarıldı; bu da saldırganların istismar etmesi için kolay bir giriş noktası oluşturdu.

Aktif olarak kullanılmadığında bile, güvenlik açıkları varsa bu tür alan adları hala saldırı vektörleri olarak işlev görebilir. Bu riskleri azaltmak için şirketler dijital varlıklarını düzenli olarak denetlemeli, kullanılmayan alan adlarını derhal devreden çıkarmalı veya aktif sistemlerle aynı düzeyde güvenlik uygulamalıdır.

3. Bu tür veri ihlallerinden nasıl kaçınılır?#

Optus hacklenmesine benzer veri ihlallerini önlemek ve itibar zedelenmesi riskini azaltmak için kuruluşlar, aşağıda bulabileceğiniz farklı güvenlik stratejilerini benimseyebilirler:

3.1 Karşı Önlem #1: OWASP API Security Project'i referans alın#

OWASP API Security Project, bilinen API güvenlik risklerini vurgulayan, düzenli olarak güncellenen bir kaynaktır. Siber güvenlik ekiplerinin, işletmelerini etkileyebilecek güvenlik açıklarını belirlemek ve gidermek için bu veritabanını rutin olarak izlemesi çok önemlidir. Çok çeşitli potansiyel riskleri kapsar, örneğin:

• Bozuk Nesne Düzeyinde Yetkilendirme (BOLA): Yetkisiz veri erişimine izin veren kullanıcı erişim izinlerindeki boşluklar.

• Aşırı Veri İfşası: API'lerin gerektiğinden fazla bilgi döndürerek hassas veri sızıntısı riskini artırması.

• Güvenlik Yanlış Yapılandırmaları: Hassas API'leri saldırılara maruz bırakan yanlış hizalanmış ayarlar veya varsayılanlar.

• Enjeksiyon Kusurları: Saldırganların kötü amaçlı komutlar veya veriler enjekte etmek için API'leri istismar etmesi.

3.2 Karşı Önlem #2: Tüm API'leri bir Kimlik Doğrulama Protokolü ile Güvence Altına Alın#

OWASP API Security Project, kimliği doğrulanmamış API'leri en yaygın ikinci API güvenlik açığı olarak vurgulamaktadır. Bu API'ler, bir bağlantı kurmak için kullanıcı adı, şifre veya başka bir kimlik doğrulama yöntemi gerektirmez ve bu da onları istismara karşı oldukça savunmasız bırakır. Bu tür bir zayıflık, Optus veri ihlalinde merkezi bir rol oynamıştır.

Bazı durumlarda API'ler, eski sistemlerle uyumluluğu korumak veya test amacıyla kasıtlı olarak kimliği doğrulanmamış halde bırakılır. Büyük olasılıkla Optus da benzer nedenlerle API'sini kimlik doğrulaması olmadan bırakmıştır. Ancak test veya eski sistem gereksinimleri ne kadar kritik olursa olsun, herhangi bir API'yi (ister dahili ister halka açık olsun) kimlik doğrulaması olmadan dağıtmak önemli bir güvenlik riskidir.

Kimliği Doğrulanmamış API İstismarı Nasıl Önlenir

API'lerinizi korumak için, her bağlantı isteği Çok Faktörlü Kimlik Doğrulama (MFA) ile güvence altına alınmalıdır. MFA, birden fazla doğrulama biçimi gerektirerek ek bir koruma katmanı ekler ve bu da onu API'lere ve kullanıcı hesaplarına yetkisiz erişimi engellemenin en etkili ve basit yollarından biri yapar.

Gizli API Güvenlik Açıklarını Belirleme

Bir API güvenlik politikası, yalnızca korunması gereken tüm API'lerin hesaba katılması durumunda etkilidir. Peki Optus vakasında olduğu gibi, kuruluşunuz halka açık bir API tarafından bilmeden ifşa edilirse ne olur?

Gizli veya gözden kaçan API'leri standart tarama araçlarını kullanarak tespit etmek zordur. Bunları ortaya çıkarmanın en etkili yolu, aşağıdaki gibi güvenlik açıklarını açığa çıkarmak için sızma testi (penetration testing) yapmaktır:

• Zayıf kimlik doğrulama mekanizmaları: Düz metin (plaintext) şifreleri veya zayıf şekilde hashlenmiş kimlik bilgilerini kabul eden sistemler.

• Kimlik bilgisi doldurma (credential stuffing) veya kaba kuvvet (brute force) saldırılarına maruz kalma: Çalınan kullanıcı adlarını ve şifreleri geniş ölçekte istismar etme.

• API parametresi manipülasyonu: URL'lerde veya yanıtlarda hassas kimlik doğrulama ayrıntılarını açığa çıkarma.

4. Sonuç#

Sonuç olarak, Optus veri ihlali, sağlam siber güvenlik önlemlerinin uygulanmasının ve dijital varlıkların düzenli olarak denetlenmesinin kritik önemini vurgulamaktadır. API'lerin güvence altına alınmaması, uygun kimlik doğrulama protokollerinin zorunlu kılınmaması ve ikincil alan adlarındaki gözden kaçan güvenlik açıklarının giderilmemesi bu olaya önemli ölçüde katkıda bulunmuştur. OWASP API Security Project'te özetlenenler gibi sektördeki en iyi uygulamaları benimseyerek ve kapsamlı güvenlik stratejilerine öncelik vererek, kuruluşlar benzer ihlallere karşı korunabilir, hassas müşteri verilerini güvence altına alabilir ve en önemlisi kullanıcılarının güvenini koruyabilir.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Optus ihlalinde hangi kişisel veriler çalındı ve bu neden bu kadar zararlı?#

İfşa edilen API, saldırganlara sürücü belgesi numaralarına, telefon numaralarına, doğum tarihlerine ve ev adreslerine doğrudan erişim sağladı. Bu veri türleri kimlik hırsızlığı ve dolandırıcılık için özellikle değerlidir ve ihlali etkilenen müşteriler için özellikle zararlı hale getirir.

Bir şirket neden en başta bir API'yi kimlik doğrulaması olmadan bırakır?#

API'ler, eski sistemlerle uyumluluğu korumak veya test amacıyla (muhtemelen Optus için durum buydu) bazen kasıtlı olarak kimliği doğrulanmamış halde bırakılır. Ancak, operasyonel gerekçe ne olursa olsun, herhangi bir API'yi kimlik doğrulaması olmadan - ister dahili ister halka açık olsun - dağıtmak önemli bir güvenlik riskidir.

Güvenlik ekipleri gizli veya gözden kaçan API'leri saldırganlar onları istismar etmeden önce nasıl keşfedebilir?#

Standart tarama araçları, gizli veya gözden kaçan API'leri tespit etmekte zorlanır. En etkili yaklaşım, zayıf kimlik doğrulama mekanizmalarını, kimlik bilgisi doldurma saldırılarına maruz kalmayı ve URL'lerde veya API yanıtlarında ortaya çıkan hassas kimlik doğrulama ayrıntılarını ortaya çıkarabilen sızma testidir (penetration testing).

OWASP API Security Project nedir ve kuruluşların Optus gibi ihlallerden kaçınmasına nasıl yardımcı olur?#

OWASP API Security Project, Bozuk Nesne Düzeyinde Yetkilendirme (BOLA), Aşırı Veri İfşası, Güvenlik Yanlış Yapılandırmaları ve Enjeksiyon Kusurları gibi bilinen API güvenlik risklerini kataloglayan ve düzenli olarak güncellenen bir kaynaktır. Siber güvenlik ekipleri, saldırganlar istismar etmeden önce güvenlik açıklarını belirlemek ve gidermek için onu rutin olarak izlemelidir.