Şirketler hazine değerindeki bilgilerini ikinci el cihaz fiyatına satıyor

tarafından
70
Şirketler hazine değerindeki bilgilerini ikinci el cihaz fiyatına satıyor

ESET, kullanılmayan ve ikinci el piyasasında satılan yönlendiricilerle ilgili yeni araştırmasını duyurdu.

Dijital güvenlikte dünya önderi olan ESET, kullanılmayan ve ikinci el piyasasında satılan kurumsal File aygıtları olan yönlendiricilerle (router) ilgili yeni araştırmasını açıkladı. ESET, 16 farklı File aygıtından gelen yapılandırma datalarını inceledikten sonra, bunların yüzde 56’dan fazlasının hisli şirket bilgileri taşıdığını tespit etti. 

En Yalın tarifi ile iki File ortasında inançlı bir formda bilgi transferi sağlamak için kullanılan donanımsal aygıtlar olan yönlendiriciler bugün orta ve Aka ölçekteki her şirket tarafından kullanılıyor. ESET’in  gerçekleştirdiği araştırma kapsamında ikinci el piyasasından satın aldığı yönlendiricilerin yüzde 56’dan fazlası, kurumsal kimlik bilgileri, VPN detayları, kriptografik anahtarlar ve daha birçok hisli datadan oluşan bir hazine içeriyor. Bu bilgiler yanlış ellere geçtiğinde  veri ihlaline yol açabilecek ve şirketi, ortaklarını ve müşterilerini riske atabilecek bir siber akına neden olabilir. 

Tüm yapılandırma bilgilerinin olduğu bu dokuz aygıtta birebir vakitte yüzde 22 oranında alıcı verisi, yüzde 33 oranında ağa üçüncü taraf temaslarının erişim sağlamasına yarayacak bilgiler, yüzde 44 oranında emniyetli bir taraf olarak öteki ağlara bağlanmak için kimlik bilgileri, yüzde 89 oranında muhakkak uygulamalara has irtibat detayları, yüzde 89 oranında yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları,  yüzde 100 oranında bir yahut daha Çok IPsec yahut VPN kimlik bilgisi yahut hashlenmiş root parolalar ve Yine yüzde 100 oranında eski sahibini tespit etmek için kâfi data yer alıyordu. 

Şirketlerin planları istenmeyen şahısların eline çarçabuk geçebilir

Projeyi yöneten ESET Emniyet Araştırmacısı Cameron Camp şu bilgileri paylaştı: “Tespit ettiklerimizin potansiyel tesiri nihayet derece telaş verici  ve bir İkaz niteliğinde. Orta ölçekli ve kurumsal şirketlerin, eski aygıtlarını kullanım dışı bırakmak için sert Emniyet tedbirleri almasını bekliyorduk, fakat durum tam aykırısı istikamette gelişti. İkinci el piyasasından aldığımız aygıtların birçoklarında şirketin dijital planının yanı Dizi Temel File bilgileri, uygulama dataları, kurumsal kimlik bilgileri ve ortaklar, satıcılar ve müşteriler hakkında bilgiler yer alıyor. Bu nedenle kuruluşlar kullanım dışı bıraktıkları aygıtlarda hangi bilgilerin kaldığı konusunda daha dikkatli olmalıdır.” 

Kuruluşlar, çoklukla dijital ekipmanın inançlı bir halde imha edilmesini yahut Geri dönüştürülmesini ve bunların içerdiği dataların silinmesini doğrulamakla misyonlu üçüncü taraf şirketler aracılığıyla eskiyen teknolojiyi Geri dönüştürüyor. Bir e-atık şirketinden kaynaklanan yanılgı yahut şirketin kendi imha süreçlerinden kaynaklanan bir kusur olsun, yönlendiricilerde birçok datayı açığa çıkarıyor. 

ESET Türkiye genel Müdür Yardımcısı Erkan Tuğral yapılan araştırma ile ilgili şu değerlendirmeyi yaptı: “Birçok Amel yeri ortamında artık kullanılmayan yönlendiriciler imha edilmeden yenisi ile değiştiriliyor. Lakin atılan yönlendiricinin mukadderatı, yerini Meydan yeni aygıtın meselesiz bir biçimde çalışması kadar değerli. Ne yazık ki, birçok Vakit bunu umursamıyoruz.  ESET araştırma takımı, bir test ortamı yaratmak için birkaç kullanılmış yönlendirici satın aldı. Satın alınan aygıtların birçoğunda daha Evvel kullanılan yapılandırmalar silinmemişti ve daha da berbatı aygıtlardaki dataların silinmediğini öğrendiklerinde grup üyeleri şaşkınlığa uğradı. Zira bu datalar File yapılandırmalarının detaylarının yanı Dizi yönlendiricinin evvelki sahiplerini belirlemek için de kullanılabilir. 

Tespit edilen bilgiler yönlendiricilerin ilişkin olduğu kuruluşlarla paylaşıldı.

ESET’ten Cameron Camp ve Tony Anscombe şu bilgileri paylaştılar: “Bu araştırmadaki yönlendiriciler, orta ölçekli işletmelerden Çeşitli bölümlerdeki global işletmelere (veri merkezleri, hukuk firmaları, üçüncü taraf teknoloji sağlayıcılar, üretim ve teknoloji şirketleri, yaratıcı firmalar ve yazılım geliştiriciler) kadar değişik birçok kuruluştan alındı. ESET bu araştırma çerçevesinde tespit ettiği bilgileri, yönlendiricilerin ilişkin olduğu kuruluşlarla  paylaştı. Buradaki gaye, şirketlerin kullandıkları aygıtların nezaret zincirindeki potansiyel risklerinden haberdar olmalarını sağlayarak işbirliği yapmaktı. Bilgi güvenliği ihlal edilmiş kuruluşlardan kimileri, ESET’in ısrarlı irtibat kurma teşebbüslerine şaşırtan halde reaksiyonsuz kalırken, öbürleri olayı tam bir Emniyet ihlali olarak değerlendirip dikkate aldı. Kuruluşlara, aygıtları imha etmek için emniyetli, ehil bir üçüncü taraf firma ile mutabakatlarını yahut kullanım dışı bırakma sürecini kendileri yapacaklarsa Gerekli bütün tedbirleri aldıklarından emin olmalarını hatırlatıyoruz. Bu durum, eski yönlendiricilerden, sabit şoförlerden ve ağın kesimi olan rastgele bir aygıta kadar geniş bir yelpazeyi kapsıyor. 

Bu araştırmadaki birtakım kuruluşlar muhtemelen imha hizmeti veren, tanınmış firmalarla mukavele yaptıklarını düşündü, lakin dataları Yine de sızdırıldı. Bunu göz önünde bulundurarak kuruluşların, bir Aygıt fizikî olarak binadan çıkartılmadan evvel, içindeki dataları kaldırmak için Müstahsil yönergelerine uymalarını öneriyoruz; bu, birçok BT çalışanının üstesinden gelebileceği kolay bir iştir. Bu durumun mümkün sonuçlarını  ciddiye almanızı tekrar hatırlatıyoruz. aksi halde maliyetli bir bilgi ihlali ve Kıymetli bir prestij kaybıyla karşı karşıya kalabilirsiniz.” 

 

Kaynak: (BYZHA) ak Haber Ajansı