Kısa Süre Önce Yaşanan Siber Güvenlik Gelişmeleri
“Privacy For You” sloganı ile hareket ederek güvenlik ve gizlilik kavramlarına farklı bir bakış açısı getirmeyi planlayan Privia Security ekibi tarafından hazırlanan dönemsel siber güvenlik gelişmeleri bülteninde sadece sektörü değil herkesi ilgilendiren önemli gelişmeler yer alıyor.
SLACK KULLANICI PAROLALARINI SIFIRLADI
2015 yılı Mart ayında kullanıcılara ait profil bilgilerinin tutulduğu veritabanına erişim sağlayan saldırganlar, kullanıcılar kimlik doğruladıklarında onların parolalarını açık metin olarak alabilmek için sisteme bir kod eklemişlerdi. Slack ekibi saldırıdan etkilenen kullanıcıları bilgilendirerek onlara parolalarını sıfırlamaları için e-posta gönderdi. Fakat o saldırıdan bu yana saldırıdan etkilenen ancak parolalarını değiştirmeyen bazı kullanıcı hesapları olduğu tespit edildi ve bu kullanıcı hesaplarına ait parolalar Slack ekibi tarafından sıfırlandı.
Bu saldırıdan etkilenmeyen kullanıcılar da dahil olmak üzere tüm kullanıcılara 2FA (Two Factor Authentication-İki Faktörlü Kimlik Doğrulama) özelliğini aktif etmeleri önerilmektedir.
INSTAGRAM’DA KRİTİK GÜVENLİK AÇIĞI BULUNDU
Hindistan’da güvenlik araştırmacısı Laxman Muthiyah güvenlik açığını Instagram’ın mobil uygulaması üzerinde uygulanan parola kurtarma mekanizmasında tespit etti. Hintli ödül avcısı herhangi bir kullanıcıya ait parolayı sıfırlayarak kullanıcının hesabını ele geçirebildiğini açıkladı. Instagram‘da bulunan mekanizma 6 haneli bir doğrulama kodunu e-posta veya telefon numarasına ileti olarak göndermektedir. Bu 6 haneli kodun geçerliliği 10 dakika sürmektedir. Laxman Muthiyah brute-force saldırısı ile 10 dakika içerisinde doğrulama kodunu bulup parolayı sıfırlayabildiğini belirtti.
Hintli ödül avcısı 1 milyon farklı kombinasyondan 200.000 farklı doğrulama kodu kombinasyonu ile engellenmeden hızlı bir şekilde herhangi bir hesabı ele geçirdiğini ispatlayarak, Instagram tarafından 30.000$ ödüle layık görüldü. Instagram, uygulamadaki güvenliği arttırma kararı alıp güncelleme yapacağını belirtti. Kullanıcıların bu gibi saldırılardan korunması için “two-factor authentication” işlemini aktifleştirmeleri önerilmektedir.
Cisco Vision Dynamic Signage Director Bypass Edildi
Cisco Vision Dynamic Signage Director uygulamasının REST API arayüzünde kritik bir güvenlik açığı tespit edildi. CVE-2019-1917 kodlu güvenlik açığı, bir saldırganın özel olarak hazırladığı bir HTTP isteği ile REST API arayüzü üzerinden kimlik doğrulamasını atlatması ile exploit edilebiliyor. REST API üzerindeki güvenlik önlemlerinin yetersiz olmasını değerlendiren saldırganlar, hazırlamış oldukları HTTP isteği ile kurban cihazlar üzerinde yüksek haklarla rastgele komut çalıştırabiliyor.
Hacker’lar, WhatsApp ve Telegram Üzerinden Alınan Medya Dosyalarını Yönetebiliyor
Araştırmacılar, uçtan uca şifreleme kullanan WhatsApp ve Telegram gibi güvenli mesajlaşma uygulamaların-da medya dosyalarının değiştirilebileceğini keşfetti.
“Media File Jacking” olarak adlandırılan saldırı, cihazdaki bir uygulamanın harici depolamaya kaydedilen dosyalarına, diğer uygulamalar tarafından erişilebil-mesi ve üstüne yazabilmesinden kaynaklanıyor. Bu güvenlik zafiyetinin Android’in yeni çıkaracağı Q güncellemesiyle birlikte Google tarafından ele alınacağı söyleniyor.
Bu değerli basın bülteni için Privia Security ekibine teşekkürlerimi sunuyoruz.