Eylül 2016’da Yahoo, 500 milyon kullanıcı kaydının ihlali. Bugün bile, hacim bakımından tarihteki en büyük beş veri ihlalinden biri olmasına rağmen, Yahoo’nun yalnızca ikinci en büyük veri ihlalidir.
Andrew Komarov, o yılın Eylül ayı itibarıyla Rus siber suçluların yüz milyonlarca Yahoo hesabına sahip olduğunu zaten biliyordu. Arizona merkezli CIO basına söyledi o sırada “E Grubu” adlı bir grup, hesapları Dark Web’de toplu olarak 300.000 $ fiyat etiketiyle satıyordu. Daha sonra öğrendiği şey ise bu ihlalin içeriğinin ve E Grubu tarafından satılan verilerin tutarsız olduğuydu. Aslında, tamamen ayrı bir ihlali takip ediyordu; bu ihlalin üç milyar hesabı ele geçirdiği ortaya çıktı; bu ihlalin dört kat daha büyük olduğu ortaya çıktı. tarihteki en büyük ikinci veri ihlali.
Hatta hikayenin tamamı bu değildi. Bu noktaya gelindiğinde, daha fazla siber suç kuruluşu ve en az üç farklı ülkeye ait istihbarat teşkilatları, yıllardır Yahoo’nun BT sistemlerinde başıboş dolaşıyordu.
200 milyon Yahoo hesabı Dark Web’de satışa sunuldu. Kaynak: Anakart Yardımcısı
Yahoo’nun eşi benzeri görülmemiş güvenlik başarısızlıkları, siber güvenlik sektörü için bir uyandırma çağrısı işlevi görmüş olabilir. Bunun yerine uzmanlar, bu olayları mümkün kılan temel sorunların 2024’ün internetinde hala mevcut olduğu konusunda uyarıyor.
Kriz sırasında Yahoo’ya yardım etmesi istenen ancak bunu reddeden Gigamon STK’sı Chaim Mazal’ı şöyle hatırlıyor: “Sektörde bu ihlali ve ardından gelen açıklamaları gerçek zamanlı olarak görecek kadar uzun süre çalışmış biri olarak, ne kadar zaman harcadığını düşünmek şaşırtıcı. O zamandan beri ne kadar çok yol geçti ve sektör olarak ne kadar az ilerleme kaydettik.”
On Yıldır Çözülemeyen Güvenlik Eksiklikleri
Beyond Identity CEO’su Jasson Casey, “Yahoo ihlalleri 10 ve dokuz yıl önce gerçekleşmiş olsa da, dünya çapındaki çoğu kuruluş, Yahoo kadar üç temel soruna karşı hassastır” diyor.
İlk önemli noktanın ikinci saldırının yöntemi olduğunu söylüyor (eksik günlükler nedeniyle ilkinin nasıl gerçekleştiği bilinmiyor). Orta düzey bir çalışana gönderilen standart bir kimlik avı e-postasıyla, Rus hacker Alexsey Belan Yahoo’nun BT sistemlerine ilk erişim hakkı kazandı. Daha sonra göre Adalet Bakanlığı’na iddianamekendisi ve FSB komplocuları, çerezleri taklit etmeye yönelik basit bir araç kullanarak istedikleri hesaplara erişim sağlayabildiler.
Casey, retorik bir şekilde sormadan önce şöyle açıklıyor: “Bunu yapmanın zor olmasının iki nedeni var. Birincisi, değer tahmin edilebilir olmamalıdır. İkincisi, bu değerler düşmana ifşa edilmeye açık olmamalıdır.” Tipik şirketlerin uygulamalarına kimlik doğrulamayı entegre eden Web geliştiricilerinin bu ilkelerin her ikisine de bağlı kaldığını mı düşünüyorsunuz?”
Günümüze ikinci kapsamlı paralellik, hem şirketin hem de kullanıcılarının kimlik doğrulama verilerini nasıl ele aldığıyla ilgilidir. Yahoo, bazı kullanıcılarının şifrelerini artık kullanılmayan MD5 algoritmasıyla şifreledi ve bazı güvenlik soruları şifrelenmeden bırakıldı. Bu arada kullanıcılar şifrenin yeniden kullanılmasından suçluydu ve hala da suçludur. Belki de her birimizin yüzlerce çevrimiçi hesabı olduğundan, şifreler bugün de her zamanki gibi endişe verici olmaya devam ediyor. Casey, “Şifreler temelde kusurludur” diyor. “Çoğu çok faktörlü kimlik doğrulama (MFA) tekniği bu riski ortadan kaldırmaz, yalnızca kullanıcı deneyimini kötüleştirir. Bu saldırıyı önleyen ve son kullanıcıyı koruyan tek kimlik doğrulama biçimi, şifrelere dayanmayan, kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamadır.”
Son olarak şunu söylüyor: “Müşterileri koruma ve kurumsal güvenlik kaygılarının yönetimi konusunda taahhüt eksikliği vardı.” Yahoo’nun bu bağlamdaki suçlarının listesi uzundur. Belki de en ünlüsü, şirketin, Yahoo’nun 2014’te işleri sarsmak amacıyla STK olarak işe aldığı yüksek profilli tüketici bilimcisi Alex Stamos’la olan ilişkisiydi; sonunda kendisi zayıflatıldı ve görmezden gelindi.
“Güvenlik misyonuna ve sonuçta yönetim kurulu düzeyinde yönetişime bağlılık eksikliği nedeniyle Stamos’u ancak bir buçuk yıldan kısa bir süre sonra kaybetmek üzere işe aldılar. Bu hikaye günümüzün tipik işletme veya işletmesine ne kadar benziyor?” Casey alaycı bir havayla soruyor. (Özellikle Stamos, CEO’sunun özel yapım bir yazılım aracına gizlice izin verdiğini öğrendikten sonra istifa etti. federal yetkililerin kullanıcıların e-postalarını okumasını sağlamak.)
İyi Haber: Yahoo’nun İhlalinden Sonra Daha Fazla Denetim
Bozuk kalan her şeye rağmen, Yahoo’nun hikâyesinin artık uçup gitmeyecek çok önemli bir kısmı var.
“Gerçek çıkarım, şirketlerin veri gizliliğini ve kurumsal hesap verebilirliği ele alma biçiminde tetiklediği önemli değişimdir” diyor AJ EsnemeArmanino’nun ürün ve inovasyondan sorumlu ortağı.
Gördüğünüz gibi Yahoo, yalnızca verilerini yeterince güvence altına almakta ve istihbarat teşkilatlarının kullanıcılar hakkında casusluk yapmasına izin vermekte başarısız olmamıştı. 2013’ten önceki çok sayıda küçük ölçekli vaka ve daha büyük vakalar da dahil olmak üzere, maruz kaldığı çok sayıda veri ihlalini gözden kaçırdı veya tamamen bastırdı. Aurora Operasyonu. Ve 2017’den itibaren 10-K dosyalama “Şirketin bilgi güvenliği ekibinin, 2014 yılında kullanıcı hesaplarının ele geçirilmesi ve aynı saldırganın 2015 ve 2016 yıllarında çerez sahteciliği içeren olaylara ilişkin eş zamanlı bilgiye sahip olduğunu” ortaya çıkardı.
Yahoo, 2017’deki satın alma görüşmeleri sırasında bu bilgiyi Verizon’dan sakladı ve bu bilgi ortaya çıktığında, anlaşma değerlemesi önemli ölçüde azaldı. Ve CEO kullanıcılardan şifrelerini sıfırlamalarını istemeyi reddetti, diğer e-posta hizmetlerine gideceklerinden korktukları için. Bütün bunlar yüzbinlerce insanı tehdit eden tehditlere rağmen ABD hükümeti ve askeri personel.
Bu tür ahlaksız gözetimler için, SEC, Yahoo’ya 35 milyon dolar ceza kesti. Yawn, bu meblağın nispeten önemsiz olmasına rağmen bunun bir açıklama olduğunu söylüyor. “SEC’in, ihlali yeterince açıklamadığı için Yahoo’ya karşı açtığı dava bir dönüm noktasıydı. Siber olaylar sırasında şeffaflığın ve paydaşlarla iletişimin öneminin altını çizdi” diye vurguluyor.
Günümüzde SEC, şirketlerin bu tür ihlalleri açıklamasını zorunlu kılıyor keşiften sonraki dört gün içinde. Yawn, “SEC’in son eylemleri ve düzenleyici gelişmeler, siber güvenliği teknik bir sorundan, ihmal nedeniyle gerçek sonuçları olan yönetim kurulu düzeyinde bir endişeye yükseltiyor” diyor. “Dolayısıyla, bazı ayrıntılar eskimiş olsa da, Yahoo ihlallerinin mirası varlığını sürdürüyor ve siber güvenliğin kurumsal yönetimdeki ayrılmaz rolünü vurguluyor.”