Yapılan incelemenin ardından, Google’ın Mandiant’taki siber güvenlik operasyonu, iki faktörlü kimlik doğrulaması kurulmadığı için X hesabının kontrolünü 3 Ocak’ta kripto para birimi zararlı yazılım operatörlerine geçici olarak kaybettiğini belirledi.
20 Mart 2023’ten itibaren geçerli olmak üzere yalnızca ücretli, X’in (eski adıyla Twitter) premium aboneleri 2FA’ya erişebilir.
Uzmanların söylediği utanç verici bir itiraf, siber güvenlik ekiplerinin, bu zorluğun üstesinden gelmek için azalan kaynak ve yetenek havuzuyla ezici bir siber saldırı saldırısını uzakta tutmak için maruz kaldıkları baskının bir işareti. Mandiant’ın başına gelebilirse her yerde olabilir diye uyarıyorlar.
“Normalde 2FA bunu hafifletirdi, ancak bazı takım geçişleri ve X’in 2FA politikasındaki değişiklik nedeniyle yeterince korunmadık”, Mandiant ekibinin kesinlikle oluşturmak zorunda kalmayı asla istemediği bir ifade, ancak yine de tarihinde yayınlandı 10 Ocak’ta X. “Bunun bir daha yaşanmamasını sağlamak için sürecimizde değişiklikler yaptık.”
X’in 2FA Artışı
9 Ocak’ta yaşanan yüksek profilli ayrı bir olayda, Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından işletilen X hesabı, düzenleyicinin borsa yatırım fonlarını (ETF’ler) onayladığı yönünde sahte bir duyuru yayınlamak üzere ele geçirildi. 20 dakikadan kısa sürede 1 milyon görüntüleme elde edildi ve Bitcoin’in değeri %5 arttı.
Bu örnekte X, @SECGov hesabına, hesapla ilişkili ele geçirilmiş bir telefon numarasından erişildiğine dair bir açıklama yaptı. Açıklamada ayrıca SEC’in hesapta 2FA’yı etkinleştirmediği belirtildi.
Siber güvenlik ekipleri kurumsal “taç mücevherlerini” korumaya odaklanırken, tehdit aktörleri X’in 2FA premium fiyatlandırmasındaki ince ayara yöneldi.
Veri Güvenliği Baş Evangelisti Claude Mandy, “Siber suçluların, 2023’te SMS aracılığıyla çok faktörlü kimlik doğrulamaya (MFA) yönelik X değişikliklerinden yararlandıkları ve bu değişikliklerin, kullanıcıları bu güvenlik işlevi için ödeme yapmaya veya uygulama tabanlı MFA kullanmaya zorladığı açık” dedi. Simetri Sistemleri açıklar. “Maalesef, o zaman tahmin ettiğim gibi, kuruluşların SMS MFA gibi daha az güvenli bir kimlik doğrulama biçimini kullanmak için para ödemeye hazır olmadıkları, aynı zamanda sosyal medya yönetim hesapları için ücretsiz bir kimlik doğrulama uygulaması indirme zahmetine giremeyecekleri açık. “
Küçük Şeyleri Kaçırmak Kolaydır
Viakoo CEO’su Bud Broomhead’e göre kurumsal güvenlik ekipleri karmaşık saldırıları önlemeye odaklanırken, en keskin ekiplerin bile basit şeyleri gözden kaçırması kolay olabilir.
Broomhead, “Tehditlerin hacminin ve hızının arttığı bir dönemde siber güvenlik uzmanlarının eksikliği, muhtemelen kuruluşların kısayollar kullanmasına neden oluyor” diyor. Zaman baskısı ve son teknoloji kod geliştirme nedeniyle siber güvenlik şirketlerinin kodlarında genellikle diğer yazılım türlerine göre daha fazla güvenlik açığı bulunmasına benzer şekilde, Mandiant gibi güvenlik firmaları da daha ciddi veya karmaşık istismarlara o kadar odaklanmış olabilir ki, kurulum gibi temel bilgiler X hesabında 2FA — kesinlikle gözden kaçıyor.”