Giriş
Bankacılık sektöründe güvenlik, kullanıcı verilerinin korunması açısından büyük önem taşımaktadır. Ancak, bazı güvenlik açıkları, kullanıcıların bankacılık oturumlarının izinsiz izlenmesine neden olabiliyor.
Saldırı Nasıl Çalışıyor?
Bir Avrupa finans platformunda, Reflectiz tarafından gerçekleştirilen bir denetimde, kullanıcılar bankacılık sitelerinde oturum açtıklarında aşağıdaki şekilde bir yönlendirme zinciri tespit edilmiştir:
- İlk İstek: Kullanıcı, https://sync.taboola.com/sg/temurtbnative-network/1/rtb/ adresine bir GET isteği gönderir.
- Yönlendirme: Sunucu, kullanıcıyı https://www.temu.com/api/adx/cm/pixel-taboola?…. adresine yönlendiren 302 Found yanıtı verir.
- Payload: Yönlendirme, kritik bir başlık olan Access-Control-Allow-Credentials: true içerir.
Bu başlık, tarayıcının Temu’nun alanına yapacağı çapraz kaynak isteğinde çerezleri dahil etmesini sağlar. Böylece Temu, doğrulanmış bir bankacılık oturumu geçiren bir kullanıcıyı tanıyabilir ve izleme kimliklerini okuyup yazabilir.
Etkilenen Sistemler
Bu tür bir yönlendirmeden etkilenen sistemler şunlardır:
- Web uygulama güvenlik duvarları (WAF)
- Statik analiz araçları
- İçerik Güvenlik Politikası (CSP) ayarları
Neden Geleneksel Araçlar Başarısız Oldu?
| Araç | Neden Başarısız Oluyor? |
| WAF | Yalnızca gelen trafiği inceler; tarayıcı tarafında gerçekleşen dışa yönlendirmeleri atlar. |
| Statik Analiz | Kaynak kodunda Taboola kodunu görür, ancak çalışma zamanı 302 yönlendirmelerini tahmin edemez. |
| CSP İzin Listeleri | Güven, geçişkendir; tarayıcı, ilk yönlendirme onaylandıktan sonra yönlendirme zincirini otomatik olarak takip eder. |
Çözüm ve Korunma
Mevcut Taboola piksel yapılandırması, binlerce sitede çalışmaktadır. Soru, bu tür yönlendirme zincirlerinin gerçekleşip gerçekleşmediği değil, güvenlik yığınınızın ilk aşamayı aşıp aşamadığıdır. Güvenlik ekiplerinin:
- Çalışma zamanı davranışını incelemesi
- Onaylı tedarikçi listeleri ile sınırlı kalmaması
Gerekli; çünkü tehdit kapıdan içeri girdi. CSP, bunu mümkün kıldı.
Regülatörler İçin Sonuçlar
Regüle edilen kuruluşlar için, doğrudan kimlik hırsızlığının yokluğu, uyum riski konusunda sınırlamalar getirmez. Kullanıcılar, bankacılık oturum davranışlarının PDD Holdings tarafından tutulan bir izleme profiliyle ilişkili olacağına dair hiçbir zaman bilgilendirilmemiştir. Bu da GDPR, Madde 13’e göre bir şeffaflık eksikliğidir.
Aksiyon: Ne Yapmalısınız?
Bu durumdan etkilenmediğinizi düşünseniz bile, sistemlerinizi güvence altına almak için derhal aşağıdaki adımları uygulayın:
- Tüm güvenlik yazılımlarınızı güncelleyin.
- CSP ayarlarınızı gözden geçirin ve optimize edin.
- Yönlendirmeleri düzenli olarak denetleyin.
Yönlendirme zincirlerinin tespiti ve önlenmesi, siber saldırılara karşı korumanızda kritik bir adımdır. Güvenlik açıklarını kapatmak, kullanıcılarınızın bilgilerinin güvenliğini sağlamanın temelidir.
