Comodo’dan Kenneth Geers; Yahoo Güvenliği Yeterince Önemsememiş!


SUNNYVALE, CA - JULY 17: The Yahoo logo is displayed in front of the Yahoo headqarters on July 17, 2012 in Sunnyvale, California. Yahoo will report Q2 earnings one day after former Google executive Marissa Mayer was named as the new CEO. Photo by Justin Sullivan/Getty Images)

İnternet devi Yahoo’nun 2013’te gerçekleşen bir hacklenme olayından bir milyardan fazla kullanıcının hesabının etkilendiğini duyurması siber güvenlik şirketlerince de yakından izleniyor.

Siber güvenlikte sunduğu çözümlerle fark yaratan Comodo’nun kıdemli araştırmacısı Kenneth Geers, Yahoo’dan yapılan açıklamayı değerlendirirken “Yahoo siber suç örgütleri ve devlet destekli saldırılar için doğrudan bir hedef olduğunu akıldan çıkarmamalı, verilerini korumak için yatırım yapmalıdır” dedi. Geers’in, Yahoo’daki hacklenme için “Güvenlik açığından etkilenen MD5 ‘hash’lerinin kullanılması Yahoo’nun güvenliği yeterince önemsemediğini gösteriyor” analizini yapması da dikkat çekti.

Kenneth Geers’in Yahoo’nun açıkladığı hacklenme olayı ile ilgili derin analizi ise siber güvenlik konusunda uluslar arası çaptaki tehlikeye şöyle dikkat çekiyor:

  1. “Gerçek kimliği bilinmeyen, stratejik bir saldırı. Kombine edilen bu iki faktör, bunun sadece bilgi-istihbarat değeri için bilgi isteyen bir yabancı istihbarat servisi olduğu anlamına gelebilir. Bu hipotezi test etmenin bir yolu, çalınan bilgilerin siber suçlar için kullanılıp kullanılmadığını bulmaya çalışmaktır. Bununla birlikte bazı bilgilerin sızdırılması saldırgan tarafından aldatıcı bir taktik olarak özellikle kullanılmış olabilir. 2014’te çalınan 500 milyon hesapla bağlantılı olmayabileceği bu gerçeği değiştirmez. Dünyada sorumlu olabilecek birçok istihbarat servisi var.
  2. Bu tür bir siber saldırının milyarlarca dolar etkisi olabileceği düşünüldüğünde, Pazar payını etkilemek için dahi kullanılması mümkündür. Bir şirket çalışanı, rakip bir şirket, hatta bir ulus devletin bile tamamen bencil mali kaygılarla yapmış olabileceğini unutmamalıyız. Her bir veri istihbarat veya cezai amaçlar için eşit derecede kullanılabilir.
  3. Kullanıcılar, siteler arasındaki şifreleri tekrar tekrar kullandıkları ve güvenlik soruları aynı olabildiğinden, Yahoo’da yaşanan sızıntılardan başka saldırıların da faydalanmış olması mümkündür. Bu tür olaylar, online kimlik doğrulama için gerçek zamanlı biyometri geliştirme hızını artıracaktır. “

Yahoo’dan yapılan açıklamada “Yahoo, Ağustos 2013’te izni olmayan üçüncü bir aktörün bir milyardan fazla kullanıcıya ait verileri çaldığına inanıyor” demişti. Yahoo, isimler, telefon numaraları, şifreler ve e-posta adreslerinin çalındığını, ancak banka ya da ödeme bilgilerine dokunulmadığını söylüyor. Yahoo, polis ve yetkililerle konuyu yakından inceliyor.


0 Yorum Mevcut

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir