Şirketler için Parola Sızıntılarından Korunma Rehberi

Günümüzde tüm işlerimizi internet üzerinden yapıyoruz. Parolalar en çok kullandığımız doğrulama yöntemi. Bir şirket için parola sızıntıları çok tehlikeli bir hal alabiliyor.

Sızıntılar neden tehlikeli?

İnsanlar doğaları gereği kullandıkları ve güçlü olduğuna inandıkları parolaları ya da benzerlerini farklı sistemler üstünde kullanırlar. Parola ne kadar güçlü olursa olsun bir veri tabanında şifrelenmemiş halde tutuluyorsa ve bu parola sızdırılırsa sadece sızdırılan şirketi/servisi etkilemeyecektir. Saldırganlar sızdırılmış kullanıcı adı ve parola ikiliklerini (kombo olarak anılır) kullanarak çoğu web sitesine erişmeye çalışacaktır.

Bir saldırganın izlediği muhtemel saldırı yolu

1- E-posta toplama

Bir saldırgan şirketinizi hedef aldığında yapacağı ilk iş yüksek ihtimalle şirketinize ait mail adreslerini toplamak olacaktır. Bu mailler direkt olarak açık kaynak mecralardan OSINTaraçlarıyla kullanılabileceği gibi yakalanmış bir mail üzerinden de türetilebilir. Örneğin, şirketinizde çalışan herkese bir şirket maili veriyorsunuz. Muhtemelen bu maili ad.soyad@sirket.com gibi hep belirli bir kalıpta üretiyorsunuz. Bu maili bulunmak istenen kişi açık kaynak bir mecrada mailini paylaşmamış olsa bile onun e-postasının başka bir çalışanın maili bilinerek üretilmesine yol açar.

2- Sosyal mecralar üzerinden çalışanları belirlemek

Linkedin gibi şirket ve iş bağlantılarının ön planda tutulduğu sosyal medya hesapları OSINT araçları ile incelenip maillerin oluşturulması, hedeflerin paylaşımlarının ve ilgi alanlarının tespiti gibi işlemler yapılabilir. Böylece saldırgan şirketin çalışanları ve oltalama saldırıları hazırlanacaksa neyin üzerine yoğunlaşması gerektiğini belirler.

3- Mail ve kullanıcı adlarının eşleştirilmesi

Sosyal medya ve mailler eşleştirilir, sosyal medyadan yakalanan kullanıcı adları ile diğer platform taranır. Çalışanların kişisel web siteleri ve telefon numaraları, ev adresleri gibi bilgiler çeşitli OSINT kaynaklarından tespit edilmeye çalışır.

4- Parolaların araştırılması ve sistemlerde denenmesi

Saldırganlar elde ettikleri kullanıcı adı ve mail adreslerini kullanarak sızdırılmış parolaları tararlar. Elde edilen kombolar şirketin tespit edilmiş iç servislerinde* denenir. Sızdırılmış bir veri tabanındaki parolasını kullanan çalışanların hesapları ele geçirilir.
*Genelde şirket alt alan adları ya da ip adresinin açık portları kullanılarak tespit edilir.

Bu tür saldırılardan korunmak için neler yapılmalı?

Öncelikle çalışanların parola ve bilgi güvenliği ile ilgili bilinçlendirilmelidir. Her serviste farklı güçlü parolalar kullanılması için bir parola yöneticisi kullanılabilir. Parola yöneticilerinin açık kaynaklı ve ücretli bir çok alternatifi var, ihtiyaca uygun bir parola yöneticisini şirket çalışanlarının kullanması büyük bir güvenlik sağlayacaktır.

Sızdırılmış parolalar ve veri tabanlarının sürekli takip edilmesi gerekiyor. Bunun takibini yapan ücretli firmalar olduğu gibi bazı parola yöneticileri de bu fonksiyon ile geliyorlar. Ücretsiz kişisel kullanım için Troy Hunt’tan HaveIBeenPwned’ı kullanabilirsiniz.

Parolaların güvenliksiz tutulması ve GDPR

Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir yönetmelik. 2018 yılı sonlarında knuddles.de adında bir Alman chat platformu parolaları şifrelemeden tuttuğu için yaşanan veri sızıntısında 330,000 kişinin giriş bilgilerinin açık şekilde paylaşılmasına zemin hazırladı. Şirket 20,000 Euro para cezası ödemeye mahkum edildi. Sadece şirket sistemlerinin bu parolar kullanarak saldırıya açık olmasına değil aynı zamanda da şirket sistemlerinin parolalarının şifreli tutulmasına dikkat etmek gerekiyor.

Çalgan Aygün
Software Developer