- Son Dönemdeki Perakende İhlalleri ve Güvenlik Açıkları
- 1. Adidas: Üçüncü Taraf Güvenini İstismar Etmek
- 2. The North Face: Şifre Yeniden Kullanımından İstismar
- 3. Marks & Spencer ve Co-op: İstemezseniz Güvenin İhlali
- 4. Victoria’s Secret: SaaS Yöneticilerine Dikkat!
- 5. Cartier ve Dior: Müşteri Destek Sisteminin Gizli Maliyeti
Son Dönemdeki Perakende İhlalleri ve Güvenlik Açıkları
Son zamanlarda, perakende sektöründe önemli ihlaller yaşandı. Adidas , The North Face , Dior , Victoria’s Secret , Cartier , Marks & Spencer ve Co-op gibi büyük markalar, güvenlik açıklarından etkilendi. Bu saldırılar, karmaşık kötü amaçlı yazılımlar veya sıfır gün açıkları ile ilgili değildi; daha çok kimlik tabanlı girişimlerle gerçekleştirildi. Burada saldırganlar, fazla ayrıcalıklı erişim ve izlenmeyen hizmet hesaplarını kullanarak, insan katmanını sosyal mühendislik taktikleriyle istismar ettiler.
Saldırganlar, sisteme girmek için kırmak zorunda değildi; yalnızca giriş yaptılar. SaaS uygulamalarında fark edilmeden dolaşarak, gerçek kimlik bilgilerini ve meşru oturumları kullandılar. Çoğu perakendeci tüm teknik ayrıntıları paylaşmadı; ancak ortaya çıkan sonuçlar net ve tekrar eden bir desen gösteriyor.
1. Adidas: Üçüncü Taraf Güvenini İstismar Etmek
Adidas, üçüncü taraf bir müşteri hizmetleri sağlayıcısına yönelik bir saldırının ardından veri ihlalini doğruladı. Müşteri verileri , isimler, e-posta adresleri ve sipariş detayları gibi bilgileri içeriyordu. Burada herhangi bir kötü amaçlı yazılım yoktu; sadece güvenilerinin iç yüzüydü.
SaaS Kimliklerinde Bu Saldırılar Nasıl Gelişiyor?
Üçüncü taraflara verilen SaaS jetonları ve hizmet hesapları genellikle MFA (çok faktörlü kimlik doğrulama) gerektirmiyor ve süresi dolmuyor. Erişim gereksiz hale geldiğinde ancak hiçbir zaman iptal edilmediğinde, sessiz giriş noktaları haline geliyor. Bu durum, tedarik zinciri ihlalleri için T1195.002 gibi taktiklerle saldırganlara bir yol açıyor.
Güvenlik İçin Öneri
Sadece kullanıcılarınızı değil, aynı zamanda tedarikçilerin bıraktığı erişimi de koruyorsunuz. SaaS entegrasyonları , gerçek sözleşmelerden daha uzun süre varlığını sürdürüyor. Saldırganlar bu noktaları nasıl kullanacaklarını çok iyi biliyor.
2. The North Face: Şifre Yeniden Kullanımından İstismar
The North Face, kimlik doldurma saldırısı (MITRE T1110.004) gerçekleştirdiğini doğruladı. Burada tehdit aktörleri, sızdırılmış kimlik bilgilerini kullanarak müşteri hesaplarına erişti. Herhangi bir kötü amaçlı yazılım söz konusu değildi, sadece zayıf kimlik hijyeni ve MFA yoktu. İçeri girdiğinde kişisel verileri çalarak büyük bir kimlik kontrol açığını ortaya çıkardı.
SaaS Kimliklerindeki Bu Saldırılar Nasıl Gelişiyor?
MFA gerektirmeyen SaaS oturumları hala yaygın. Saldırganlar geçerli kimlik bilgilerini elde ettiklerinde, doğrudan ve sessiz bir şekilde hesaplara erişebilirler. Bu durum, uç nokta korumalarını tetiklemek veya alarm yükseltmek zorunda kalmadan gerçekleşir.
Güvenlik İçin Öneri
Kimlik doldurma, yeni bir şey değil. The North Face için 2020’den bu yana dördüncü kimlik tabanlı ihlal. Her biri, MFA olmaksızın şifre yeniden kullanımının açık bir kapı olduğunu hatırlatıyor. Birçok organizasyon çalışanları için MFA’yı zorunlu kılarken, hizmet hesapları ve ayrıcalıklı roller genellikle kayıtsız kalıyor. Saldırganlar bu açıkları biliyor ve bu nedenle boşlukların peşine düşüyor.
3. Marks & Spencer ve Co-op: İstemezseniz Güvenin İhlali
İngiltere ‘deki Marks & Spencer ve Co-op, Scattered Spider adlı bir tehdit grubunun hedefi oldu. Bu grup, kimlik tabanlı saldırılarla biliniyor. Saldırganlar, SIM takası ve sosyal mühendislik kullanarak çalışanları taklit etti ve IT yardım masalarını şifre ve MFA sıfırlama konusunda kandırarak MFA’yı devre dışı bıraktı.
SaaS Kimliklerinde Bu Saldırılar Nasıl Gelişiyor?
Saldırganlar MFA’yı aştıktan sonra, fazla ayrıcalıklı SaaS rollerine veya pasif hizmet hesaplarına yönelerek kuruluşun sistemleri içinde yan sürüş yaparlar. Bu yolla hassas verileri toplamak ve operasyonları bozmak için hareket ederler.
Güvenlik İçin Öneri
Kimlik tabanlı saldırıların yayılmasının bir nedeni var; zaten güvenilen yapıları istismar ediyorlar ve genellikle kötü amaçlı yazılım izi bırakmıyorlar. Riski azaltmak için SaaS kimlik davranışını, hem insan hem de makine aktivitelerini takip etmek ve yardım masa ayrıcalıklarını sınırlamak önemlidir.
4. Victoria’s Secret: SaaS Yöneticilerine Dikkat!
Victoria’s Secret, bir siber olayın e-ticaret ve mağaza içi sistemleri etkilediği için kazanç açıklamasını geciktirdi. Çoğu detay açıklanmadı, ancak etki, perakende operasyonlarını yöneten SaaS sistemleriyle ilgili senaryolarla uyumlu görünüyordu.
SaaS Kimliklerinde Bu Saldırılar Nasıl Gelişiyor?
Gerçek risk, sadece ihlal edilmiş kimlik bilgileri değil, aynı zamanda fazla ayrıcalıklı SaaS rollerinin güçlerinin kontrolsüz olmasıdır. Yanlış yapılandırılmış bir yönetici veya eski bir jeton ele geçirildiğinde, saldırganlar, gerekli kötü amaçlı yazılımları kullanmadan ana operasyonları bozar.
Güvenlik İçin Öneri
SaaS rolleri güçlü ve genellikle unutulmuş durumdadır. Kritik iş uygulamalarına erişimi olan tek bir fazla ayrıcalıklı kimlik, kaosa yol açabilir. Bu nedenle, bu yüksek etkili kimlikler üzerinde sıkı erişim kontrolü uygulamak ve sürekli izleme yapmak çok önemlidir.
5. Cartier ve Dior: Müşteri Destek Sisteminin Gizli Maliyeti
Cartier ve Dior, üçüncü taraf platformlar aracılığıyla müşteri bilgilerine erişimin sağlandığını açıkladı. Burada sorun, altyapı ihlalleri değil; müşteri desteği sağlamak amacıyla kullanılan platformlar üzerinden meydana gelen ihlallerdir.
SaaS Kimliklerinde Bu Saldırılar Nasıl Gelişiyor?
Müşteri destek platformları genellikle SaaS temellidir ve sürekli jetonlar ve API anahtarları ile iç sistemlere bağlantı sağlarlar. Bu makine kimlikleri sık sık değiştirilmez ve merkezi IAM ’den kaçma eğilimindedir.
Güvenlik İçin Öneri
Eğer SaaS platformlarınız müşteri verilerine dokunuyorsa, bunlar sizin saldırı yüzeyinizin bir parçasıdır. Ayrıca, makine kimliklerinin bu sistemlere nasıl eriştiğini izlemiyorsanız, ön saflarda təhlükesizlik sağlamıyorsunuz.
