İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Web Sitelerinde Unutulan Piksellerin Tehlikeleri


Piksel Nedir?

Piksel (px), bir görüntünün oluşturulduğu pek çok alandan biri olan, bir görüntü ekranındaki bir dakikalık aydınlatma alanı veya bir raster görüntüdeki adreslenebilir en küçük öğe olarak tanımlanmıştır.

Web sayfaları kuruluşlara yapılan siber saldırılarda başlıca hedeflerden biridir. Web sayfaları için OWASP Top 10 listesinde de belirtildiği gibi bilenen zafiyetler bulunmaktadır. Fakat bunlar dışında ele alınmamış, işletmelerin davalarla ve gizlilik ihlalleriyle karşı karşıya kalmasına yol açabilecek riskler bulunmaktadır.

Unutulan Piksel Vakası

Geçtiğimiz günlerde gelişmiş bir web sitesi güvenlik çözümü sağlayıcısı, önde gelen bir küresel sağlık hizmeti sağlayıcısıyla ilişkilendirilen unutulmuş ve yanlış yapılandırılmış bir pikseli baz alan bir vaka çalışması yayınladı.  Gözden kaçan bu kod parçası, kullanıcının izni olmadan özel veriler gizlice toplandı ve potansiyel olarak şirketi önemli para cezalarına maruz bıraktı ve itibarının zedelenmesine neden oldu. Bu vaka sağlık, finans, e-ticaret, sigorta veya diğer sektörler dahil her türden şirketi etkileyebilmektedir. 

Günümüzde şirketlerin bu tür pikselleri web sitelerine yerleştirmesi yaygın bir uygulama haline geldi. Örneğin, TikTok için site etkinliklerini takip etmek amacıyla web sitelerine eklenen TikTok Pixel bilinen bir örnektir. Ancak böyle bir pikselin amacından sapıp yetkisiz bir şekilde çalışmaya başlaması ciddi sorunlara yol açabilir. Bu bağlamda siber saldırganların, çeşitli veri koruma regülasyonlarının ihlaline yol açabilecek şekilde kullanıcı verilerinin izinsiz toplanmasına ve paylaşılmasına neden olur.

Vaka çalışması, bir sağlık hizmetleri web sitesi ve harici bir pazarlama hizmeti sağlayıcısının dahil olduğu önemli bir olayı ele almaktadır. Dört yıl önce, bir pazarlama kampanyası sırasında, pazarlama sağlayıcısı izleme piksellerini web sitesine dahil etmiş. Maalesef piksel gözden kaçırılmış ve kampanya bittikten sonra sitede kalmıştı. Zaman içinde web sitesinde değişiklikler ve genişlemeler yaşanırken, bu unutulmuş piksel, tespit edilmeksizin hassas hasta sağlık bilgilerini (PHI) toplamaya devam etmiştir. Proaktif bir web sitesi güvenlik çözümü sağlayıcısı olan Reflectiz, bu veri sızıntısının belirlenmesinde ve azaltılmasında önemli bir rol oynamıştır.

Karmaşık web ortamları genellikle aşırı iş yükü ve stres gibi faktörlere atfedilen insan hatalarından muzdarip durumdadır. Bu durum, potansiyel güvenlik ve gizlilik sorunları için önemli bir açıklıktır. Konfigürasyon sapması en yaygın sorunlardan biridir. Kuruluşlar, istenen konfigürasyondan herhangi bir sapmayı tespit etmek ve düzeltmek için genellikle konfigürasyon yönetimi ve izleme araçlarını kullanmaktadır.

Konfigürasyon sapması: BT sistemleri, yazılım veya altyapı bileşenlerinin konfigürasyonlarının zaman içinde amaçlanan veya istenen durumdan saptığı bir durumu ifade eder. Bu sapma manuel değişiklikler, yazılım güncellemeleri veya istenmeyen değişiklikler dahil olmak üzere çeşitli faktörlerden kaynaklanabilir. Konfigürasyon kayması bir sistem içinde tutarsızlıklara, güvenlik açıklarına ve performans sorunlarına neden olabilir. Bu da sistemin güvenilirliğini, güvenliğini ve yerleşik standartlara uygunluğunu sürdürmeyi zorlaştırır.

Öneriler:

- Web sayfaları bulunan ve bunlar üstünde süreç yürüten kurumlar veri gizliliği ve güvenliğine öncelik vermeli

- Uyumlu olunması gereken standart, kanun ve regülasyonlar dikkate alınmalı

-Gereksiz veya yetkisiz piksellerin kaldırılmasına yönelik düzenli analizler yapılmalı

- Düzenli olarak sızma testi ve yük testleri yapılmalı

Kaynak: Piksel Vakası

Yazar: Nazlıcan Tanın/ BeyazNet Denetim Hizmetleri ve Teknolojileri K. Uzmanı