Hassas sektörlerde, binlerce kullanıcı kimliği, kimlik doğrulama anahtarı ve yapılandırma verisi, kodu formatlamak için kullanılan JSONFormatter ve CodeBeautify gibi çevrimiçi araçlara yüklenen halk erişimine açık JSON kesitlerinde yer almakta. Bugüne kadar yapılan araştırmalar, bu hizmetlerin “Recent Links” (Son Bağlantılar) özelliği aracılığıyla toplamda 5GB’ı aşan 80,000’den fazla kullanıcının veri yüklemesi yapıldığını ortaya koydu.
Bu tür veri sızıntıları, devlet, kritik altyapı, bankacılık, sigorta, havacılık, sağlık, eğitim, siber güvenlik ve telekomünikasyon gibi yüksek riskli sektörlerdeki kuruluşları tehdit ediyor.
Çevrimiçi Gizlilik: Sırların Saklanması
WatchTowr adlı siber güvenlik araştırma şirketi, JSONFormatter ve CodeBeautify platformlarını incelediğinde, Recent Links özelliğinin kullanıcıların geçici paylaşım amacıyla kaydedilen JSON kesitlerine erişim sağladığını buldu. ‘Kaydet’ butonuna tıkladığınızda, platform özel bir URL oluşturuyor ve bu URL’yi kullanıcının Recent Links sayfasına ekliyor. Ancak, bu sayfalarda koruma katmanı olmadığı için içerikler herkesin erişimine açık kalıyor.
Recent Links sayfalarının yapısı öngörülebilir bir URL formatına sahip olduğu için, basit bir tarayıcı ile bu URL’lere ulaşmak oldukça kolay. Bu durum, saldırganların hassas verilere ulaşmalarını kolaylaştırıyor.
Kaynak: watchTowr
Sızdırılan Bilgilerin Seviyesi
WatchTowr, bu halka açık Recent Links sayfalarını tarayarak 80,000’den fazla veri yüklemesi topladı. Bu veriler, Active Directory kimlik bilgileri, veritabanı ve bulut erişim bilgileri, özel anahtarlar, API belirteçleri ve KYC verileri gibi hassas bilgileri içeriyordu.
- Aktif Dizin kimlik bilgileri
- Veritabanı ve bulut erişim bilgileri
- Özel anahtarlar
- Kod havuzu belirteçleri
- CI/CD gizli bilgileri
- Ödeme geçidi anahtarları
- API belirteçleri
- SSH oturum kayıtları
- Özellikle tanımlanabilir bilgiler (PII)
- Küresel bir borsa için kullanılan bir AWS kimlik bilgisi seti
- Bir bankanın MSSP (Yönetilen Güvenlik Servisi Sağlayıcısı) onboarding e-postasında sızdırılmış kimlik bilgileri
Bir vakada, araştırmacılar bir siber güvenlik şirketine ait “önemli hassas bilgileri” buldu. Bu bilgiler, “çok hassas bir yapılandırma dosyası için şifrelenmiş kimlik bilgileri,” SSL sertifikası özel anahtar şifreleri, dış ve iç ana bilgisayar isimleri ile IP adresleri gibi detaylar içeriyordu.
Kaynak: watchTowr
Bir hükümet kurumuna ait yüksek seviyede hassas bilgilerin sızması sırasında, yeni bir ana bilgisayarın yapılandırılmasına dair 1,000 satırlık PowerShell kodu yer alıyordu. Bu kod, kurulumları almayı, kayıt defteri anahtarlarını yapılandırmayı ve bir web uygulaması dağıtmayı sağlıyordu.
Kodun içinde hassas veriler bulunmasa bile, izinsiz erişim durumunda saldırganların kullanabileceği pek çok değerli bilgi barındırıyordu. Örneğin, iç uç noktalar, IIS yapılandırma değerleri gibi bilgiler, saldırıcılar tarafından kötüye kullanılabilir.
Sonuç ve Öneriler
Saldırganlar, hassas bilgilere ulaşmak için sürekli olarak kolay erişilebilen sistemleri tarıyor. WatchTowr, bu sebeple sızdırılan verilere yönelik bir tehditin mevcut olup olmadığını test etmek amacıyla sahte AWS erişim anahtarları oluşturdu. Yapılan denemelerde, sahte anahtarlar, ilk yüklemeden 48 saat sonra erişim girişimlerinde bulundu.
WatchTowr, etkilenen kuruluşlarla iletişime geçti, ancak bazıları sorunları çözsede benzeri durumlar çözüme kavuşmadı. Şu anda, Recent Links özelliği hâlâ erişilebilir durumda ve bu, tehdit aktörlerinin hassas verilere kolayca ulaşmalarına olanak tanıyor. Kuruluşların veri güvenliğine daha fazla önem vermesi gerektiği aşikâr.
