Tüketicilere kredi notu veren dev Amerikan şirketi Equifax, geçtiğimiz yıl yaklaşık 150 milyon insanın kimlik bilgilerini çaldırarak şimşekleri üzerine çekmişti. Equifax’ın bir güvenlik açığıyla ilgili yamanın yayınlanmasına rağmen yazılımı güncellememesi nedeniyle büyük bir skandala neden olmuştu.
Equifax’tan ders almayan 10 binden fazla şirketin, söz konusu açığa sahip olan Apache Struts sürümlerini indirdiği ortaya çıktı. Bunların yüzde 80’inden fazlası, Equifax’ın veri sızıntısını açıkladığı 7 Eylül 2017 tarihinden sonra bunu yaptı. Dahası bunlar arasında Fortune dergisinin en çok gelir elde eden 100 şirket listesinden 57 firma da bulunuyor.
İlgili haber>> 140 milyon ABD’linin bilgisini çaldıran şirkete yasak çağrısı
Apache şirketi, Equifax’ın kullandığı yazılımdaki güvenlik açığını daha önceden fark etmiş ve 7 Mart 2017’de bir yama yayınlamıştı. Apache, aynı yıl içinde 6 yama daha yayınladı. Ancak şirketler, güncellenmemiş sürümü indirmeye devam etti. Equifax’ın başına gelenlerden ders alarak sorunlu yazılımı indirmeyen şirketlerin oranı yüzde 20’lerde kaldı.
Araştırmayı yapan Sonatype şirketinin CEO’su Wayne Jackson, sorunlu yazılımların Struts ile sınırlı olmadığını belirterek tehlikenin büyüklüğüne dikkat çekti. Struts yazılımını güncelleme işleminin Microsoft Windows güncellemeleri gibi basit olmadığı gerçeği de söz konusu ihmalde rol oynuyor. Bunu yapmak için; söz konusu bileşenlerin hangi uygulamaları kullandığı bilmek, ‘build script’leri yazılımın en son sürümlerine uygun şekilde güncellemek, uygulamaları yeniden kurmak ve tamir edilen uygulamaları arzu edildiği gibi çalıştığından emin olmak için kalite kontrol testlerinden geçirmek gibi birçok işlemin gerçekleştirilmesi gerekiyor. Şirketlerin bu işlemleri tamamlamak için çok fazla vakti de yok. Virüse maruz kalma riski günler içinde gerçek olabiliyor.
Struts programının sorunlu sürümlerinin bu kadar çok kez indirilmesine rağmen, bu programların sistemlere bu şekilde kurulduğu kesin değil. Programcıların, açık kaynaklı bu yazılımları kullanmadan önce sorunları gidermiş olma ihtimalleri de mevcut. Ancak birçok işletmenin bunu yapmada başarısız oldukları tahmin ediliyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
