Giriş
Müşterinin ödeme bilgilerini girerken yaşanan güvenlik açıkları, günümüzde siber saldırganlar için büyük bir fırsat sunmaktadır. Özellikle üçüncü taraf scriptlerin kullanımı, web sitelerinde skimming saldırılarına olanak tanıyarak kritik güvenlik riskleri yaratmaktadır.
Saldırı Nasıl Çalışıyor?
Modern alışveriş süreçleri, sadece mevcut kodun çalışmadığı; aynı zamanda analitik etiketler, etiket yöneticileri, destek widget’ları ve ödeme iframe’leri gibi pek çok üçüncü taraf script’in de yüklendiği bir ortamda gerçekleşmektedir. Magecart gibi gruplar, bu üçüncü taraf scriptleri kullanarak bahsi geçen bilgi hırsızlıklarını gerçekleştiriyor. CVE kayıtlarına göre, 100,000’den fazla web sitesi , bu tür saldırılara maruz kalmıştır. Örneğin, 2018 British Airways veri ihlali, 380,000 işlemin ifşasına ve başlangıçta £183 milyon olarak belirlenen bir ceza ile sonuçlanmıştır.
Tehlikeli olan şu: Kötü niyetli kod genellikle daha önce onayladığınız bir script aracılığıyla gelir. Saldırganlar, bir üçüncü taraf satıcıyı ele geçirerek kodu sisteminize entegre eder. Bu durumda, sayfada görünen script’in varlığı değişmez; yalnızca davranışı değişir.
Etkilenen Sistemler
PCI DSS v4.0.1 , bu güvenlik açığını kapatmaya yönelik iki yeni gereklilik getirmiştir:
- 6.4.3: Her ödeme sayfasındaki script’lerin envanterini çıkarma, yetkilendirme ve bütünlük kanıtı sağlama.
- 11.6.1: Sayfa içeriği ve HTTP başlıkları üzerindeki değişiklikleri tespit etme.
Manuel olarak bu işlemler, sürekli değişen yüzlerce script için ölçeklendirilmesi zor bir süreçtir. Reflectiz verilerine göre, ödeme sayfası script’lerinin yaklaşık %30’u her iki hafta içinde değişmektedir.
Çözüm ve Korunma
Integrity360 Europe , PCI Denetçi ve PCI SSC Küresel Yönetici Değerlendirici Kurulu üyesi olarak Reflectiz PCI DSS Platformu’nu inceledi. Yapılan değerlendirmede, platformun uyum sağlamada etkili olduğu ve üç önemli özelliğe sahip olduğu belirlendi:
- Davranışı izliyor, yalnızca dosya hash’lerini değil. Bir hash kontrolü, sessiz bir satıcı değişimini kaçırabilir. Reflectiz, kart verilerine erişim sağlandığında script’i yakalıyor.
- Ajansız dağıtım. Hiçbir kod değişikliği gerektirmeden, birkaç gün içinde faaliyete geçer ve yeniden inşalar ile CMS geçişleri boyunca çalışır.
- Denetim için bir tıklama ile hazırlanan QSA-ready kanıt. Her sayfa için tam denetim kaydı, değerlendirmeye hazırdır.
SAQ A Yaklaşımı
Ocak 2025’ten itibaren, satıcılar, yalnızca sitelerinin script saldırılarına maruz kalmadığını doğrularlarsa 6.4.3 ve 11.6.1 ‘i SAQ A’dan çıkarabilirler. Tam yönlendirme yapıyorsanız sorun yaşamazsınız. Ancak, bir ödeme iframe’i gömerseniz, ana sayfadaki bir script, veri güvenli çerçevesine ulaşmadan önce hesaplamaları hedef alabilir ve bunu kanıtlamanız gerekir. PCI SSC SSS #1588, bu kontrolleri gözler önüne seriyor.
Gerekli Aksiyonlar
Site sahipleri, bu yeni gerekliliklerin farkında olmalı ve saldırılara karşı proaktif tedbirler almalıdır. Güncellemeleri gerçekleştirin, gereksiz portları kapatın ve güvenlik duvarlarınızı her zaman aktif tutun. Ayrıca, üçüncü taraf script’lerinizi düzenli olarak gözden geçirerek bütünlüklerini kontrol edin. Unutmayın, koruma, ihlallerden önce başlamalıdır.
Bütün bu süreçler için daha fazla bilgi almak ve detayları incelemek isteyenler için tam değerlendirme belgesini buradan indirebilirsiniz.
