Etiket arşivi: Equifax

ABD

Amerikalı şirketler, güvenlik açığı olan yamayı indirmeye devam etmiş!

Yorum yapın

Tüketicilere kredi notu veren dev Amerikan şirketi Equifax, geçtiğimiz yıl yaklaşık 150 milyon insanın kimlik bilgilerini çaldırarak şimşekleri üzerine çekmişti. Equifax’ın bir güvenlik açığıyla ilgili yamanın yayınlanmasına rağmen yazılımı güncellememesi nedeniyle büyük bir skandala neden olmuştu.

Equifax’tan ders almayan 10 binden fazla şirketin, söz konusu açığa sahip olan Apache Struts sürümlerini indirdiği ortaya çıktı. Bunların yüzde 80’inden fazlası, Equifax’ın veri sızıntısını açıkladığı 7 Eylül 2017 tarihinden sonra bunu yaptı. Dahası bunlar arasında Fortune dergisinin en çok gelir elde eden 100 şirket listesinden 57 firma da bulunuyor.

İlgili haber>> 140 milyon ABD’linin bilgisini çaldıran şirkete yasak çağrısı

Apache şirketi, Equifax’ın kullandığı yazılımdaki güvenlik açığını daha önceden fark etmiş ve 7 Mart 2017’de bir yama yayınlamıştı. Apache, aynı yıl içinde 6 yama daha yayınladı. Ancak şirketler, güncellenmemiş sürümü indirmeye devam etti. Equifax’ın başına gelenlerden ders alarak sorunlu yazılımı indirmeyen şirketlerin oranı yüzde 20’lerde kaldı.

Araştırmayı yapan Sonatype şirketinin CEO’su Wayne Jackson, sorunlu yazılımların Struts ile sınırlı olmadığını belirterek tehlikenin büyüklüğüne dikkat çekti. Struts yazılımını güncelleme işleminin Microsoft Windows güncellemeleri gibi basit olmadığı gerçeği de söz konusu ihmalde rol oynuyor. Bunu yapmak için; söz konusu bileşenlerin hangi uygulamaları kullandığı bilmek, ‘build script’leri yazılımın en son sürümlerine uygun şekilde güncellemek, uygulamaları yeniden kurmak ve tamir edilen uygulamaları arzu edildiği gibi çalıştığından emin olmak için kalite kontrol testlerinden geçirmek gibi birçok işlemin gerçekleştirilmesi gerekiyor. Şirketlerin bu işlemleri tamamlamak için çok fazla vakti de yok. Virüse maruz kalma riski günler içinde gerçek olabiliyor.

Struts programının sorunlu sürümlerinin bu kadar çok kez indirilmesine rağmen, bu programların sistemlere bu şekilde kurulduğu kesin değil. Programcıların, açık kaynaklı bu yazılımları kullanmadan önce sorunları gidermiş olma ihtimalleri de mevcut. Ancak birçok işletmenin bunu yapmada başarısız oldukları tahmin ediliyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

ABD

140 milyon ABD’linin bilgisini çaldıran şirkete ‘yasak’ çağrısı

Yorum yapın

ABD Kongresi İç Güvenlik Komitesi’nin önde gelen siber güvenlik uzmanı John Ratcliffe, Equifax’ın devlet bilgisayarlarında kullanımının yasaklanmasını çağrısında bulundu.

Cumhuriyetçi John Ratcliffe, veri ihlaliyle karşı karşıya kalan ve 140 milyon Amerikan vatandaşının bilgilerinin ele geçirildiğini açıklayan Equifax’ın “siber güvenlik konusunda önemli ölçüde ihlalde bulunduğu”nu iddia ederek İç Güvenlik Bakanlığı’na yasalarda belirtilen yetkileri kullanma çağrısında bulundu. İç Güvenlik Bakanlığı geçen ay güvenlik sebebiyle Kaspersky’i yasaklamak için yetkisini kullanmıştı.

İlgili haber>> Amerika’dan Kaspersky’a kırmızı kart

Ratcliffe, aynı yetkinin kredi derecelendirme kurumu Equifax için de kullanılmasını ve ayrıca ABD Gelir İdaresi’nin (IRS) şirketle yaptığı 7 milyon dolarlık anlaşmanın iptalini talep etti. Nextgov adlı sitenin haberine göre, bir Kongre sözcüsü, konuyla ilgili olarak, “Ratcliffe, İç Güvenlik Bakanlığı’ndan sadece bu gelişmeyle ilgili gerekli adımları atmasını istedi” diye açıklık getirdi.

İç Güvenlik Bakanlığı yetkilileri, geçtiğimiz ay Kremlin yetkilileri ile Kaspersky arasındaki muhtemel ilişkiyi göz önünde bulundurarak hükümet sistemlerinde bu şirketin anti-virüs programının kullanılmasını yasaklamıştı.

İç Güvenlik Bakanlığı’nın siber güvenlik üzerine çalışan yetkililerinden biri, bu tarz bir ilişkinin varlığına dair ortaya çıkan gelişmelerden sonra programın yasaklanmasına karar verildiğini söyledi. Bunu doğrulayan resmi bir kanıt henüz yok; Kaspersky de iddiaları yalanlamaya devam ediyor.

İlgili haber>> ‘En iyi güvenlik danışmanlık şirketi’ 5 milyon e-postayı nasıl çaldırdı?

ABD Gelir İdaresi (IRS), Equifax’ın veri ihlali duyurusundan üç hafta sonra şirket ile 7 milyon dolarlık bir kimlik yönetimi anlaşması yapmıştı. IRS, daha sonra kontratın ikinci aşaması için başka bir tedarikçiyle anlaşma sağlamış ve Equifax bu durumu protesto etmişti.

IRS’nin üst düzey yetkilisi Jeffrey Tribiano’nun Çarşamba günü yaptığı açıklamalara göre, hükümetin bu tarz kontratlarla ilgili sorunlarıyla ilgilenen birimi olan ABD Sayıştayı (GAO) konuyla ilgili zamanında karar bildirmediği için IRS, Equifax ile bu anlaşmayı yaptı.

Equifax’ın uğradığı siber saldırı sonucu, Amerikan nüfusunun neredeyse yarısının sosyal güvenlik numarası, doğum tarihleri, adresleri ve bazı kişilerin ehliyet numaraları ele geçirilmişti. Eski Equifax CEO’su Richard Smith, bu hafta beş farklı komitenin karşısında çıkacak.

Ratcliffe konuyla ilgili şunları söyledi: “Amerikalılar devlet birimlerine kişisel bilgilerinin korunmasını konusunda güveniyor. Bunların içinde ABD Gelir İdaresi de (IRS) de var. Önde gelen Ssiber güvenlik birimi olarak, İç Güvenlik Departmanı’nın bütün devlet birimlerinin siber güvenlik konusunda sorumlu davrandığından emin olması gerekiyor. Ancak bu şekilde Amerikalıların güvenini koruyabiliriz.”

Siber Bülten abone listesine kaydolmak için doldurunuz