Klue Veri Sızıntısı: 2022'den Kalma Bir Kimlik Bilgisi Müşteri Verilerini Tehlikeye Attı Yazılım

Klue Veri Sızıntısı: 2022'den Kalma Bir Kimlik Bilgisi Müşteri Verilerini Tehlikeye Attı

Klue, 2022'deki bir pilot için kullanılan bir kimlik bilgisinin hackerlar tarafından ele geçirilerek LastPass gibi müşterilerin verilerinin çalınmasın

Kanada merkezli pazar araştırma şirketi Klue, 12 Haziran'da tespit ettiği bir siber saldırıda, 2022 yılında sınırlı bir pilot uygulama için kullanılan bir kimlik bilgisinin hackerlar tarafından ele geçirildiğini doğruladı. Saldırganlar, bu eski kimlik bilgisi aracılığıyla Klue'nin sistemlerine erişerek, aralarında LastPass gibi parola yöneticilerinin de bulunduğu birçok kurumsal müşterinin verilerini çaldı. Klue'nin sözcüsü Katie Berg, TechCrunch'a yaptığı açıklamada, kullanılan kimlik bilgisinin '2022'de üçüncü bir tarafa, sınırlı bir pilot için verildiğini' belirtti. Ancak şirket, pilotun amacı, süresi veya kimlik bilgisinin verildiği üçüncü taraf hakkında detay paylaşmadı.

Bu durum, Klue'nin yıllar boyunca pilot uygulama sona erdikten sonra bu kimlik bilgisini iptal etme fırsatı olduğu halde bunu yapmadığını gösteriyor. Güvenlik uzmanları, bu ihmali 'kabul edilemez' olarak nitelendirirken, olayın şirketin güvenlik duruşu hakkında ciddi soruları gündeme getirdiğini vurguluyor. Saldırganlar, Klue'nin müşteri verilerine erişim sağlayan OAuth token'larını depolayan sistemlerine sızarak, diğer bulut ve veritabanlarındaki verileri indirip şirketlere şantaj yaptı. Klue, saldırganların kullandığı kimlik bilgisinin tam türünü (bir çalışan kullanıcı adı/şifresi mi yoksa başka bir şey mi) açıklamazken, yalnızca 'eski bir entegrasyon hizmeti kimlik bilgisi' olduğunu duyurdu.

Icarus adlı bir hacker grubu, veri sızıntısı sitesinde ihlalin sorumluluğunu üstlendi ve fidye ödenmezse çalınan verileri yayınlamakla tehdit etti. Klue, hacker'larla iletişime geçip geçmediğini veya fidye ödemeyi planlayıp planlamadığını açıklamadı. Şirket, ihlal hakkında kapsamlı bir inceleme yürüttüğünü ve 'kimlik bilgisi yönetimi, satıcı erişim kontrolleri, izleme yetenekleri ve dağıtım güvenlik süreçlerini' gözden geçirdiğini belirtti. Ancak bu açıklamalar, olayın nasıl gerçekleştiği ve tekrarının nasıl önleneceği konusunda hala birçok soruyu yanıtsız bırakıyor.

Saldırı, özellikle siber güvenlik firmalarının kendilerinin bu tür ihlallere maruz kalmasının ironisini bir kez daha gözler önüne serdi. LastPass gibi güvenlik odaklı şirketlerin verilerinin çalınması, sektördeki güven zincirinin ne kadar kırılgan olduğunu gösteriyor. Uzmanlar, Klue'nin pilot uygulamayı sonlandırdıktan sonra kimlik bilgilerini iptal etmemesinin temel bir güvenlik hatası olduğunu ve bunun 'sıfır güven' modeliyle çeliştiğini belirtiyor. Sıfır güven yaklaşımı, hiçbir kimlik bilgisine varsayılan olarak güvenilmemesi ve sürekli doğrulama yapılmasını öngörüyor.

Sonuç ve Değerlendirme

Bu olay, şirketlerin eski kimlik bilgilerini düzenli olarak denetlemesi ve kullanılmayan erişimleri derhal iptal etmesi gerektiğini bir kez daha hatırlatıyor. Özellikle bulut tabanlı hizmetlerde OAuth token'ları gibi geçici yetkilendirme mekanizmalarının yönetimi kritik önem taşıyor. Güvenlik uzmanları, şirketlerin kimlik bilgisi yaşam döngüsü yönetimi araçları kullanmasını, düzenli güvenlik denetimleri yapmasını ve üçüncü taraf erişimlerini minimumda tutmasını öneriyor. Ayrıca, çok faktörlü kimlik doğrulama (MFA) ve davranışsal analiz gibi ek güvenlik katmanları, bu tür ihlallerin etkisini azaltabilir.

Klue ihlali, veri güvenliğinin yalnızca teknolojik önlemlerle değil, aynı zamanda süreç yönetimi ve farkındalıkla da sağlanabileceğini gösteriyor. Şirketlerin, pilot uygulamalar gibi geçici projelerde kullanılan kimlik bilgilerini bile sıkı takip etmesi ve proje biter bitmez iptal etmesi hayati önem taşıyor. Aksi takdirde, yıllar öncesine ait bir ihmal, bugün büyük bir veri felaketine dönüşebiliyor. Olayın gelişmeleri, güvenlik camiası tarafından yakından takip ediliyor.

Kaynak: techcrunch.com

Paylaş: