Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Kritik Uyarı: OAuth İzni ile MFA Nasıl Baypas Edilir?
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Kritik Uyarı: OAuth İzni ile MFA Nasıl Baypas Edilir?

Siber Güvenlik

Kritik Uyarı: OAuth İzni ile MFA Nasıl Baypas Edilir?

teknomers
Son güncelleme: 19 Mayıs 2026 15:49
teknomers
Paylaş
Paylaş

Phishing-as-a-Service ile Yeni Tehdit: EvilTokens

2026 Şubat ayında EvilTokens adında bir ‘phishing-as-a-service’ (PhaaS) platformu faaliyete geçti. Beş hafta içinde, bu platform 340’tan fazla Microsoft 365 organizasyonunu beş ülkede hedef alarak ciddi bir güvenlik tehdidi oluşturdu.

Contents
  • Phishing-as-a-Service ile Yeni Tehdit: EvilTokens
    • Saldırı Nasıl Çalışıyor?
    • Etkilenen Sistemler
      • CVE Kodu ve Teknik Detaylar
    • Çözüm ve Korunma
    • Aksiyon

Saldırı Nasıl Çalışıyor?

EvilTokens, hedef kullanıcılarına microsoft.com/devicelogin adresine kısa bir kod girmelerini ve normal çok faktörlü kimlik doğrulama (MFA) süreçlerini tamamlamalarını isteyerek saldırıya geçiyor. Kullanıcılar, bu sürecin basit bir oturum açma doğrulama işlemi olduğuna inanarak yanından ayrılıyorlar. Fakat bu durum, operatörün kullanıcıların posta kutusu, dosya, takvim ve kişilere erişim sağlayan geçerli bir tazeleme belirteci (refresh token) elde etmesine neden oluyor. Operatör, kullanıcıların parolasını bilmeye gerek duymadan, MFA tetiklemeksizin ve herhangi bir oturum açma etkinliği oluşturulmadan bu saldırıyı gerçekleştiriyor.

Etkilenen Sistemler

Saldırının altındaki temel neden, OAuth izin ekranının kullanıcılar tarafından otomatik olarak onaylanması ve kimlik bilgilerini korumak amaçlı oluşturulan kontrollerin bu izin katmanına odaklanmamasıdır. Güvenlik araştırmacıları, bu durumu “izin phishing” veya “OAuth yetki kötüye kullanımı” olarak adlandırıyor.

CVE Kodu ve Teknik Detaylar

  • CVE-xxxx: Tespit edilen güvenlik açığı ile ilgili detaylar
  • Versiyon: Saldırıdan etkilenen yazılım versiyonları

Çözüm ve Korunma

  1. OAuth uygulama envanteri oluşturun:

    • Sürekli olarak güncellenen ve denetim zamanı yerine sürekli olarak tazeleme belirteçlerini tutan üçüncü taraf uygulamaları gözden geçirin.
  2. Açık izni yeniden gözden geçirin:

    • 30 günden eski tazeleme belirteçlerini yeniden onaylamak için gereken süreçleri belirtin.
  3. Çapraz uygulamalarda kimlik incelemesi yapın:

    • Üç veya daha fazla SaaS uygulamasında izinler taşıyan kimlikleri belirleyin ve gerekli incelemeleri yapın.
  4. Agent ve entegrasyon köprülerini kontrol edin:

    • İki sistemi birleştiren AI ajanlarının ve entegrasyonların onayını sorgulayın.
  5. Koşullu erişim politikaları oluşturun:

    • Onay olaylarında yeniden tetiklenecek politikalar belirleyin.
  6. Token becerisi ile iptal:

    • Kullanıcıyı askıya almak yerine tek bir OAuth belirtecini iptal etmeyi sağlayan bir plan oluşturun.

Aksiyon

Kuruluşlar, güncellemeleri, belirteçlerin sürelerini ve güvenlik açıklarını sürekli izlemelidir. Kullanıcıların kimlik onay süreçleri üzerinde daha fazla kontrol sağlanması için gerekli önlemler alınmalıdır. MFA’nın, izin katmanlarını göz ardı ettiği için yeterli olmadığı ve tazeleme belirtecinin bir oturum açma izniyle ilişkili olduğu hatırlanmalıdır. Güvenlik açığını azaltmak için kullanıcıları bilgilendirin, düzenli güncellemeleri gerçekleştirin ve gereksiz erişimleri iptal edin.

Bu yeni siber tehditlerin önüne geçebilmek için organizasyonların, OAuth işlemlerini ve izin katmanlarını daha sıkı bir şekilde gözlemlemesi gerekmektedir.

WhatsApp’ta grup gizlilik ayarları nasıl değiştirilir?
OpenAI Muhalefeti Susturmak İçin Eşitliği Nasıl Kullandı?
Amazon Kaldırımı nasıl devre dışı bırakılır ve neden yapmalısınız?
Mobil cihazdan Amazon Pay’e nasıl para eklenir?
Aktörler Gerçek Hayatta Nasıl Görünüyor?
ETİKETLENDİ:baypasedilirileİzniKritikMFAnasılOAuthuyarı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale İki yıllık ExpressVPN aboneliğinde 300 $ indirim ve 4 ay hediye
Sonraki Makale Acil: Ağ Olay Müdahalesindeki Gizli Engelleri Keşfedin!

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Wayve 85M Dolar Çalışan Teklifini 8.5M Milyar Dolar Değerleme ile Başlattı
Genel
Acil: Anthropic, Claude Fable Erişimini Çarşamba Günü Yeniden Açıyor
Siber Güvenlik
Meta akıllı gözlüklerine rate limiti ve yumuşak bir ödeme duvarı ekliyor mu?
Liste
2026’da İşletmelerin Ölçeklenebilir Web Uygulamaları İçin Neden Laravel Seçtiği
Yazılım
Minecraft ve Call of Duty Topluluk Sunucuları Tartışma Yarattı
Oyun
Kritik: Microsoft’un Kuantum Güvenliği Stratejisi Hızlanıyor!
Siber Güvenlik
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?