EN
EN

2020 14. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

14.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Marriott 5,2 Milyon Otel Misafirinin Verilerini Sızdırdı

TARİH: 31 Mart 2020

Uluslararası otel zinciri Marriott, yaklaşık 5,2 milyon otel misafirini etkileyen bir veri ihlali açıkladı ve bu da son yıllarda şirketin etkilendiği ikinci güvenlik olayı oldu.

 Marriott, "Şubat 2020'nin sonunda, bir franchise tesisindeki iki çalışanın giriş bilgileri kullanılarak beklenmedik miktarda konuk bilgisine erişilebileceğini belirledik." Şeklinde açıklama yaptı. Olay, konukların iletişim bilgileri (ad, posta adresi, e-posta adresi ve telefon numarası), hesap bilgileri (hesap numarası ve puan bakiyesi) ve şirket, cinsiyet, doğum tarihleri, oda tercihleri ​​ve dil tercihleri gibi ek bilgilerin ortaya çıkmasına neden oldu.

Sektör devi, ihlale ilişkin bir soruşturmanın sürdüğünü, ancak Marriott Bonvoy hesap şifrelerinin veya PIN'lerinin, ödeme kartı bilgilerinin, pasaport bilgilerinin, ulusal kimliklerin veya ehliyet numaralarının tehlikeye atıldığına dair bir kanıt olmadığını söyledi. Marriott ayrıca konukların kişisel detaylarının ihlale karışıp karışmadığını ve hangi bilgi kategorilerinin açığa çıktığını kontrol etmeleri için self servis bir online portal kurdu. Buna ek olarak, etkilenen kullanıcılara 1 yıl boyunca ücretsiz olarak bir kişisel bilgi izleme hizmeti olan IdentityWorks'e kaydolma seçeneği sundu.

Şirket, bilgileri olayda potansiyel olarak ortaya çıkmış olan Marriott Bonvoy üyelerinin şifrelerini devre dışı bırakma adımını attı ve bir sonraki giriş sırasında şifrelerini değiştirmeleri ve çok faktörlü kimlik doğrulamayı etkinleştirmeleri istenecek.

Olay, 2016 yılında Marriott tarafından satın alınan Starwood Hotels konuk rezervasyon veritabanının 2014 uzlaşmasını takip ediyor. Dünya genelinde 339 milyondan fazla misafirin kişisel bilgilerini ifşa eden ihlal, Kasım 2018'e kadar tespit edilmedi ve GDPR yasaları uyarınca İngiltere'nin veri gizliliği düzenleyicisi Bilgi Komiseri Ofisi tarafından 99 milyon £ (123 milyon $) para cezasına çarptırıldı.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

 

Haber Yazısı 2

MS-SQL Veritabanlarını Hedefleyen Saldırı Kampanyası

TARİH: 1 Nisan 2020

Siber güvenlik araştırmacıları, Mayıs 2018'e kadar süren ve çok işlevli uzaktan erişim araçları (RAT) ve şifreleme araçları da dahil olmak üzere MS-SQL sunucularını çalıştıran Windows makinelerine arka kapı ve diğer kötü amaçlı yazılım türlerini dağıtmaya hedefleyen bir kötü amaçlı kampanya ortaya çıkardı.

Guardicore Labs araştırmacıları, Vollgar olarak adlandırılan saldırının İnternet'e maruz kalan zayıf kimlik bilgilerine sahip Microsoft SQL sunucularını ihlal etmek için parola kaba kuvvet kullandığını açıkladı. Vollgar saldırısı, başarılı olduğunda, arayanın kötü niyetli MS-SQL komutlarını çalıştırmak ve kötü amaçlı yazılım ikili dosyalarını indirmek için bir dizi yapılandırma değişikliği yürütmesine izin veren MS-SQL sunucularındaki kaba kuvvet giriş denemelerine başlar.

Araştırmacılar, saldırganların son birkaç hafta içinde günde yaklaşık 2.000-3.000 veritabanı sunucusuna başarılı bir şekilde bulaşmayı başardığını ve Türkiye, Hindistan, ABD, Güney Kore ve Çin'deki sağlık, havacılık, BT, telekomünikasyon ve yükseköğretim sektörlerine ait potansiyel kurbanları hedeflendiği belirlendi. Endişe duyanlar için araştırmacılar, sistem yöneticilerinin Windows MS-SQL sunucularından herhangi birinin bu özel tehditten ödün verilip verilmediğini tespit etmelerini sağlayan bir komut dosyası yayınladılar .

Kaba Kuvvet Saldırılarından Kaçınmak İçin Güçlü Parolalar Kullanın


MS-SQL veritabanı hizmetini çalıştıran yaklaşık yarım milyon makineyle kampanya, saldırganların hassas bilgileri almaya çalışmak için kötü korunan veritabanı sunucularının peşine düştüğünü gösteren başka bir göstergedir. İnternete maruz kalan MS-SQL sunucularının güçlü kimlik bilgileriyle güvence altına alınması önemlidir.


Guardicore araştırmacıları, "Bu veritabanı sunucularını değerli CPU güçlerinin yanı sıra saldırganlar için çekici kılan şey, sahip oldukları çok büyük miktarda veri." "Bu makineler muhtemelen sadece basit bir kaba kuvvetle saldırganın eline geçebilecek kullanıcı adları, şifreler, kredi kartı numaraları vb. kişisel bilgileri saklar."

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Zoom Windows Kullanıcıları İçin Tehdit İçerebilir

TARİH: 2 Nisan 2020

Zoom dokuz yıldır kullanılmakta, ancak koronavirüs pandemi sırasında kullanımı kolay bir video konferans uygulamasının derhal gereksinimi, onu dünyanın dört bir yanındaki milyonlarca insan için en gözde iletişim aracı haline getirdi. Hiç şüphe yok ki, Zoom, bu eşi görülmemiş zamanlarda insanların sosyal olarak bağlı kalmasına yardımcı olan etkili bir çevrimiçi video toplantısı çözümüdür, ancak yine de herkes için en iyi seçim değildir, özellikle gizliliklerini ve güvenliklerini gerçekten önemseyenler için.

Siber güvenlik uzmanı Mitch'e göre, Windows için Zoom video konferans yazılımı, uzaktan saldırganların kurbanların Windows oturum açma kimlik bilgilerini çalmasına ve hatta sistemlerinde rasgele komutlar yürütmesine izin verebilecek klasik bir 'UNC yol enjeksiyon' güvenlik açığına karşı savunmasızdır.

Bu tür saldırılar mümkündür, çünkü Windows için Zoom, kişisel veya grup sohbetinde bir alıcıya sohbet mesajları yoluyla alındığında potansiyel olarak güvenli olmayan URI'leri köprülere dönüştüren uzak UNC yollarını destekler.

Zoom Kullanıcıları Ne Yapmalı?
Zoom zaten bu hatadan haberdar edildi, ancak kusur henüz yamalanmadığından, kullanıcıların sistemlerine özel bir istemci uygulaması yüklemek yerine alternatif bir video konferans yazılımı kullanması veya web tarayıcılarında Zoom kullanmaları önerilir.

En iyi alternatif video konferanslarından bazıları ve sohbet yazılımı:
 

Güncelleme: Zoom, gizlilik ve güvenlik beklentilerinin altında kaldığı için özür diledi ve   yakın zamanda bildirilen UNC yolu enjeksiyonu da dahil olmak üzere çok sayıda güvenlik sorununu düzeltmek için güncellenmiş bir sürüm yayınladı .

[3] Haber ayrıntılarına buradan ulaşabilirsiniz

Haber Yazısı 4

Magecart Hacker'lar Ödeme Verilerini Çalmak için 19 Siteye iFrame Skimmers'ı Enjekte Etti

TARİH: 2 Nisan 2020

Siber güvenlik araştırmacıları bugün, müşterilerin ödeme kartı bilgilerini çalmak için şimdiye kadar en az 19 farklı e-ticaret web sitesini başarıyla tehlikeye atan yeni bir Magecart skimmer kampanyasını ortaya çıkardı.

Paylaşılan bir rapora göre, RiskIQ araştırmacıları, ödeme verileri kimlik avı yapmak için HTML iframe'lerini web sayfalarına enjekte eden "MakeFrame" adlı yeni bir dijital yüzey tespit etti. MakeFrame saldırıları, gizleme kodunu barındırmak, sıyırıcıyı diğer ihlal edilmiş web sitelerine yüklemek ve çalınan verileri sömürmek için güvenliği ihlal edilmiş siteleri kullanma yaklaşımı nedeniyle Magecart Group 7'ye atfedilmiştir.

Magecart saldırıları genellikle, bir şirketin çevrimiçi mağazasını, ödeme formlarına kötü amaçlı JavaScript sıyırıcıları yerleştirerek virüslü sitede alışveriş yapan kullanıcıların kredi kartı numaralarını ve hesap ayrıntılarını çalmaya zorlayan kötü aktörleri içerir. Sekiz farklı hack grubu için bir şemsiye terim olan ve hepsi finansal kazanç için kredi kartı numaralarını çalmaya odaklanan Magecart'ın bir dizi saldırısında sonuncusu.

Magecart taktikleriyle ilişkili bilgisayar korsanları, son birkaç yıldır NutriBullet, Olimpiyat bilet satış web siteleri, Macy's, Ticketmaster, British Airways, tüketici elektroniği devi Newegg ve diğer birçok e-ticaret platformu dahil olmak üzere birçok yüksek profilli web sitesini ziyaret etti.

RiskIQ, saldırganların söz konusu hassas verilere gerçek zamanlı olarak erişebilmelerinin yalnızca 22 satır JavaScript kodu enfeksiyonu aldığını söyledi.

İstihbarat ajansı, geçen ay yayınlanan bir danışma belgesinde, şirketlerin yazılımlarını güncel tutmasını, çok faktörlü kimlik doğrulamasını etkinleştirmesini, kritik ağ altyapısını ayırmasını ve kimlik avı saldırılarına karşı dikkatli olmalarını önerdi.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz

KAYNAKÇA

  1. marrıott
  2. vollgar
  3. zoom 
  4. magecart