EN
EN

2019 29. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

29. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

IOS URL ŞEMASI SİBER SALDIRGANLARIN HESABINIZA ERİŞMESİNE İZİN VEREBİLİR

TARİH: 15 Temmuz 2019

Güvenlik araştırmacıları, iOS cihazınıza yüklenen zararlı bir yazılımın, Özel URL Düzeninin bazı uygulamalardan faydalanarak diğer uygulamalardan gelen hassas verilere erişebileceği bir saldırı uygulaması gerçekleştirdiler.

Apple'ın iOS işletim sisteminde varsayılan olarak, her uygulama aynı cihazda yüklü olan tüm uygulamaların birbirlerinin verilerine erişmesini önleyen bir sanal alan içinde çalışır. Fakat Apple uygulamalar arasında çok sınırlı veri gönderip almayı kolaylaştıran bazı yöntemler sunar.

Bu tür bir mekanizmaya, geliştiricilerin kullanıcıların uygulamalarını URL'lerle ( facetime: // , whatsapp : // , fb-messenger: // gibi) başlatmalarını sağlayan Deep Linking olarak da bilinen URL Şeması denir. Örneğin, bir e-ticaret uygulamasında "Facebook ile giriş yap" ı tıkladığınızda, cihazınızda yüklü olan Facebook uygulamasını doğrudan başlatır ve kimlik doğrulamasını otomatik olarak işler. Arka planda, bu e-ticaret uygulaması aslında Facebook uygulaması için URL şemasını tetikler ( fb: // ) ve giriş bilgilerinizi işlemek için gereken bazı bağlam bilgilerini iletir. Trend Micro'daki araştırmacılar, Apple'ın hangi uygulamanın Özel URL Düzeni için hangi anahtar kelimeleri kullanabileceğini açıkça tanımlamadığından, bir iOS cihazındaki birden fazla uygulamanın tek bir URL Düzeni kullanabilir (bu sayede hassas verileri tamamen farklı bir uygulamaya beklenmedik bir şekilde aktarabilir ve aktarabilir) ve kötü niyetli eylemlerde bu işlev kullanılabilir.

Bu güvenlik açığından yararlanılabilirdik, tamamen bir URL Düzeninin uygulanma biçimine bağlı olduğundan, uygulama geliştiricilere ve popüler platformlara uygulamalarını gözden geçirmeleri ve güvenilmeyen istekler için düzeltmeleri doğrulamaları önerilir. [1]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

ZOOM RCE ZAFİYETİ RİNG VE ZHUMU SÜRÜMLERİNİ ETKİLİYOR

TARİH: 16 Temmuz 2019

Yakın zamanda macOS'ta Zoom'da bildirilen güvenlik açıkları, aynı zamanda diğer iki popüler video konferans yazılımını da etkiliyor,

Güvenlik araştırmacıları, 350.000'den fazla işletme tarafından kullanılan RingCentral’ın ve Zoom’un Çince bir sürümü olan Zhumu’nun kullanıcılarında bilgisayarlarında gizli bir yerel web sunucusu çalıştırdığını doğruladı. Katılmak için otomatik bir tıklama özelliği sunmak üzere tasarlanan tartışmalı yerel web sunucusu, 3. taraf web siteleri aracılığıyla yapılan uzaktan kumanda enjeksiyon saldırılarına karşı savunmasız kaldı. Zhumu dahil olmak üzere aşağıda listelenen toplam 10 adet yeniden markalanmış Zoom yazılımı olduğunu doğrulandı.

Tüm bu video konferans yazılımı aynı şekilde çalışır ve aynı güvenlik açıklarını içerir, bu da kullanıcılarını aynı saldırı riski altında bırakır.

- RingCentral, Zhumu
- Telus Meetings
- BT Cloud Phone Meetings
- Office Suite HD Meeting
- AT&T Video Meetings
- BizConf
- Huihui
- UMeeting
- Zoom CN

Apple’ın en son MTR 1.46 güncellesi, kullanıcıların Mac bilgisayarlarına yüklenen güvenlik açığı bulunan web sunucusunu kaldırdığı doğrulandı. Kullanıcıların araştırmacı tarafından GitHub'da sağlanan komutları çalıştırarak gizli web sunucusunu manuel olarak kaldırmaları önerilir. Ancak, Çince uygulama Zhumu yazılımı için henüz bir düzeltme eki yayınlamamıştır, ancak kullanıcılar aynı terminal komutlarını izleyerek sunucuyu kaldırabilirler. [2]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

WHATSAPP VE TELEGRAM ÜZERİNDEN ALDIĞINIZ MEDYA DOSYALARINI SİBER SALDIRGANLAR TARAFINDAN YÖNETEBİLİR

TARİH: 16 Temmuz 2019

Uçtan uca şifreli güvenli mesajlaşma uygulamarından aldığımız mesajların değiştirilemeyeceği düşüncesini yıkmamız gerekiyor.

Symantec'teki güvenlik araştırmacıları, WhatsApp ve Telegram Android uygulamalarına karşı kötü niyetli saldırganların sahte haberler yaymalarına veya kullanıcıları yanlış hesaplara ödeme gönderme konusunda dolandırıcılık yapmalarına izin verebilecek çok sayıda ilginç saldırı senaryosu sergilediler. "Media File Jacking” olarak adlandırılan saldırının, bir cihaza yüklenen herhangi bir uygulamanın, aynı cihaza yüklenen diğer uygulamalar tarafından kaydedilen dosyalar da dâhil olmak üzere, harici depolamaya kaydedilen dosyalara erişebileceği ve yeniden yazabileceği açıklandı.

WhatsApp ve Telegram, kullanıcıların gelen tüm multimedya dosyalarını cihazlarının dâhili veya harici deposuna kaydetmek isteyip istemediklerini seçmelerini sağlar. Bununla birlikte, Android için WhatsApp varsayılan olarak medya dosyalarını otomatik olarak harici depoda saklarken, Android için Telegram başka herhangi bir uygulamaya erişilemeyen kullanıcıları depolamak için dâhili depolamayı kullanır. Ancak, çoğu Telegram kullanıcısı, Gmail, Facebook Messenger veya WhatsApp gibi diğer iletişim uygulamalarını kullanarak, alınan medya dosyalarını arkadaşlarıyla yeniden paylaşmak istediklerinde, ayarlardaki "Galeri'ye Kaydet" seçeneğini kullanarak bu ayarı manuel olarak harici depolamaya değiştirir. Saldırının sadece WhatsApp ve Telegram ile sınırlı olmadığı ve diğer birçok Android uygulamasının işlevselliğini ve gizliliğini de etkilediği belirtilmelidir.

Kullanıcılar medya dosyalarını cihazın harici deposuna kaydetmekten sorumlu olan özelliği devre dışı bırakarak bu tür saldırıların riskini azaltabilirler. Bunu yapmak için Android kullanıcıları şunlara gidebilir:

WhatsApp: Ayarlar → Sohbetler → 'Medya Görünürlüğü' için geçişi kapatın

Telegram: Ayarlar → Sohbet Ayarları → 'Galeri’ye Kaydet' geçişini devre dışı bırakın [3]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

VERGİ AJANSI SUNUCULARINDAN% 70'TEN FAZLA BULGAR VATANDAŞIN VERİLERİ ÇALINDI

TARİH: 17 Temmuz 2019

Doğu Avrupa ülkesi Bulgaristan, 5 milyon yetişkin vatandaşın toplam 7 milyon nüfusundan kişisel ve finansal bilgilerini tehlikeye sokan tarihinin en büyük veri ihlalini yaşadı. Birçok kaynağa göre, bu haftanın başlarında bilinmeyen bir bilgisayar korsanı, vergi mükelleflerinin kişisel tanımlanabilir numaralarını, adreslerini ve finansal verilerini içeren 11 GB’lık veri çaldı.

Geçtiğimiz hafta yayınlanan kısa açıklamada , Bulgaristan Ulusal Gelir Ajansı (NRA), çalınan verilerin ülkenin vergi raporlama servisinden kaynaklandığını söyledi. NRA, İçişleri Bakanlığı ve Devlet Ulusal Güvenlik Ajansı'nın (SANS), NRA'nın sistemlerinde, saldırganların veritabanlarını ihlal etmek için kullanabileceği olası güvenlik açığı hakkında bir değerlendirme yapmaya başladığını belirtti. Şimdiye kadar, Rus bir adam olduğunu iddia eden hacker'ın, toplamda 21GB olan toplam 110 veri tabanından yalnızca 57'sini yayınladığı anlaşılıyor.

Kişisel Verilerin Korunması komisyonun NRA vergi dairesi, olayın sonucu olarak şu anda 20 milyon avroya (22.43 milyon $) kadar para cezasıyla veya ajansın veri ihlali konusundaki yıllık kazancının % 4'ü kadar para cezasına çarptırdı.  [4]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 5

SLACK 2015’TE YAŞANAN VERİ İHLALİNDEN SONRA PAROLALARINI DEĞİŞTİEMEYEN KULLANICILARIN PAROLALARINI OTOMATİK OLARAK SIFIRLADI

TARİH: 10 Temmuz 2019

Slack, şirket kitlesel bir veri ihlali yaşadığı 2015 yılından bu yana Slack hesaplarının şifresini henüz değiştirmemiş olan tüm kullanıcılara "şifre sıfırlama" bildirimi e-postası gönderiyor. Farkında olmayanlar kullanıcılar için, 2015 yılında bilgisayar korsanları, kullanıcı adları, e-posta adresleri ve şifreli şifreleri de dâhil olmak üzere kullanıcı profili bilgilerini depolayan şirketin veritabanlarına yetkisiz olarak erişmişlerdir. Saldırganlar muhtemelen gizlice, giriş sayfasında bulunan ve bu süre zarfında bazı Slack kullanıcılarının girdiği düz metin şifrelerini yakalamalarına izin veren kodlar eklediler. Ancak, güvenlik olayından hemen sonra, şirket, düz metin şifreleri bulunan az sayıdaki Slack kullanıcısı için şifreleri otomatik olarak sıfırladı, ancak diğer etkilenen kullanıcılardan şifrelerini manuel olarak değiştirmelerini istedi.

Son açıklamada şirket, 2015 veri ihlali sonrasında şifrelerini değiştirmeyen kullanıcıların giriş kimlik bilgileriyle eşleşen yeni bir kullanıcı adı ve şifre kombinasyonu listesi öğrendiklerini söyledi.

En son yaşanan güvenlik olayında yalnızca aşağıda veren nitelikteki kullanıcıları etkiler:

- Mart 2015'ten önce bir hesap oluşturduysanız,
- Olaydan bu yana şifrelerini değiştirmediyseniz ve
- Hesabınız tek oturum açma (SSO) sağlayıcısı aracılığıyla oturum açmayı gerektirmiyorsa

Şirket, bu yeni sızdırılmış düz metin bilgilerinin kaynağının tam olarak bilmemekle beraber, yaşanan olayın "hizmetler arasında kötü amaçlı yazılım saldırısı veya parolanın yeniden kullanılması sonucu" olabileceğini öne sürüyor. Geçen ayın sonunda Slack, etkilenen tüm kullanıcılara, olay hakkında herhangi bir ayrıntı vermeden kimlik bilgilerinin olası tehlikeleri hakkında bilgi veren ayrı bir bildirim gönderdi, ancak birçok kullanıcı uyarıyı göz ardı etti ve şifrelerini gönüllü olarak değiştirmedi. Bu nedenle, Slack, etkilenen hesaplardaki şifreleri, 2015'ten beri ihtiyati tedbir olarak güncellenmiş olan ve toplam kayıtlı kullanıcıların yaklaşık% 1'i olan ve bu kılavuzu kullanarak yeni bir şifre belirlemelerini isteyen şifreleri otomatik olarak sıfırladı.

Parolanızı değiştirmenin yanı sıra, Slack hesaplarınız için etkilenmeseniz bile iki faktörlü kimlik doğrulamasını etkinleştirmeniz önerilir. [6]

Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. iOSURLŞeması
  2.  ZoomRCE
  3. WahtsAPP-TelegramZafiyet
  4. Vergiajansıveriihlali
  5. SLACK