20:46:10

Meta ve Twitter Yeni Bir İçeriden Tehdit Çağı mı Başlatıyor?

Dijital güven çağı sona erdi ve işleri tekrar rayına oturtmak için sürekli tetikte olmak gerekiyor. Uygulayıcılar ve kamuoyu tarafından siber güvenliğe gösterilen ilginin çoğu, bireysel olarak veya daha büyük bir kuruluşun parçası olarak hareket eden saldırganlar ve dolandırıcılar gibi dış tehditlere yöneliktir. Ancak bu ay Meta ve Twitter’da içeriden suiistimal iddialarını içeren bir çift haber, bazen çağrının evin içinden geldiğini sert bir şekilde hatırlattı.

Elde edilen haberlere göre, her iki şirkette de çalışanlar son zamanlarda platformlara erişim ve doğrulama satmak için dahili geçici çözümler veya özel kanallar kullandılar, bazı durumlarda rüşvet karşılığında, resmi mekanizmalar tarafından platformlara yeniden girişi zaten reddedilmiş kişiler için güvencesiz ve denetlenmeyen bir karaborsa yarattılar. Elon Musk‘ın şirketin CEO’luğunu devraldıktan kısa bir süre sonra attığı bir tweet’te ima ettiği gibi Twitter çalışanları, kullanıcılara kayıt dışı olarak 15.000 $’a kadar doğrulama statüsü satmış olabilir. Bu arada Wall Street Journal, Meta‘da iki düzineden fazla çalışanın ve üçüncü taraf yüklenicilerin, başka türlü bir hesabı kurtarmak için başvurusu olmayan kişilerin hesaplarını geri yüklemek için dahili bir hesap kurtarma aracını kötüye kullandığını bildirdi.

İddiaya göre bazı çalışanlar, hesaplarını kaybeden bir aile üyesine ya da arkadaşına yardım etmek için şirket içi erişimlerinden faydalanmış olabilirler, ancak iyi bilgilendirilmiş bir tehdit aktörünün (ulus devlet ya da başka bir şekilde) Facebook ya da Twitter‘a erişim elde etmek için geçici çözümden faydalanması, hatta şirket sırlarına erişmek için bir çalışanla olan bağlantılarını kullanması ihtimal dışı değildir.

Bir Meta çalışanıyla kurduğu bağlantı sayesinde platformda aktif hale gelen saldırgan, dolandırıcılıklarına hız kesmeden devam edebilir. Ve eğer bir çalışan halihazırda hesap kurtarmayı mümkün kılmak için dahili bir mekanizmayı kötüye kullanıyorsa, muhtemelen daha derin şirket bilgilerine veya kimlik bilgilerine erişim karşılığında kabul edecekleri bir dolar rakamı da vardır ve bu rakamın kendi özgür iradeleriyle olması gerekmez.

Kasıtsız Tehditler Olarak Çalışanlar
İnsanların Meta‘nın çıkmaz sokak müşteri hizmetleri ekosistemini aşmalarına yardımcı olarak doğru şeyi yaptıklarını düşünen çalışanlar -biraz da parasal teşvikle- farkında olmadan normal kullanıcı kılığında saldırganların yükselmesine neden olabilirler. Amerika Birleşik Devletleri’nde son birkaç aydır yükselen enflasyon da muhtemelen sadece Meta ya da Twitter‘da değil, her yerde çalışanları sadece işlerini yapmaları karşılığında ekstra para ya da kripto para tekliflerine karşı daha duyarlı olmaya itti. Tüm içeriden tehditler eşit yaratılmamıştır, ancak dünyanın en büyük sosyal medya şirketlerinden ikisi, çalışanların hem aktif içeriden hem de kasıtsız içeriden tehdit olmalarını sağlamış gibi görünüyor.

Elbette Meta ve Twitter‘daki çalışanların içeriden tehdit olma motivasyonuna sahip olmaları şaşırtıcı değil. İçeriden tehditler, çifte ajanlar ve köstebekler siber güvenlik endüstrisi doğmadan çok önce güvenlik modellemesinde vardı. Ancak Meta ve Twitter‘daki karaborsa davranışının yaygın ve kontrolsüz olduğu iddiası, özellikle Musk‘ın şirketin uzun süredir devam eden doğrulama sistemini sadece birkaç hafta içinde birkaç kez parçalara ayırıp yeniden birleştirdiği Twitter‘da, çevrimiçi herhangi birine veya herhangi bir şeye güvenme yeteneğinin hızla azaldığının bir başka işaretidir.

Her iki şirkette de çalışanların ayrıcalıklarını ve erişimlerini kötüye kullandıkları, ancak doğrulama ve hesap kurtarma mekanizmalarını tasarlandıkları gibi kullandıkları iddia ediliyor. Güvenlik ve uygun veri koruma sorumluluğunu son kullanıcıya bıraktığınızda, kötü şeyler olur. Çünkü şirketler en iyi niyete sahip olsalar ve personelin güvenilir ve güvenilir olduğuna inansalar da, olgun bir tehdit modelinde, neredeyse her çalışan bir iç tehdittir – özellikle de izlenmeyen kanallar aracılığıyla hareket edebildiklerinde.

Dijital Güven Bozuldu
Ve bu eğilimi tersine çevirmek basit bir çözüm değildir. Personele işlerini yapmak için ihtiyaç duydukları araçları (bu durumda hesap yöneticileri ve kurtarma mekanizmaları) sağlamanın içerdiği riskleri yönetmek ve azaltmak, zorunlu olarak gizli verilere ve kimlik bilgilerine erişim izni vermek anlamına gelir ki bu da doğru zekâya ve kararlılığa sahip herhangi biri tarafından kötüye kullanılabilir.

Şirketlerin bundan kaçınmaya çalışmasının bir yolu, veriler e-posta veya USB yoluyla dışarı sızdığında ya da ayrıcalıklı programlara veya konumlara çok sık veya olağandışı zamanlarda erişildiğinde uyarı gönderen veri kaybı önleme programlarıdır. Bazı şirketler, Musk‘ın göreve geldiğinden beri Twitter‘da yaptığı gibi, yıkıcı davranışları bulmak için şirket içi iletişimleri izleyecek kadar ileri gidecektir.

Gerçek şu ki, hem kuruluşlar hem de tüketiciler dijital güven çağı sona ermiş gibi davranmaya başlamalıdır. Kullanıcıların gerçekliğini doğrulamayı ve saldırganları uzak tutmayı amaçlayan yıllanmış sistemler bir kuruluş içinde kötüye kullanılıyorsa, müşteriler kişisel bilgilerinin de kötüye kullanılmayacağından emin olarak giriş yapamazlar.

Bu, kullanıcıların bu platformları hemen bırakıp posta sistemine geri dönmeleri gerektiği anlamına gelmiyor. Ancak, ister kurum içi ister kurum dışı olsun, tehditlerin kontrolsüz kalmamasını sağlamanın tek yolunun sürekli tetikte olmak olduğu konusunda kuruluşlara bir uyarı çağrısı olarak hizmet etmelidir.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…