Üçüncü Parti Servisler Güvenli mi?

Üçüncü parti servisleri/uygulamaları kullanıyor musunuz? Kullandığınızdan neredeyse eminiz. Çünkü günümüzde üçüncü parti uygulamalar ve servisler oldukça yaygın bir şekilde kullanılıyor.

Bahsettiğimiz üçüncü parti servisler/uygulamalar siber güvenliğinizi riske atıyor. Şirket sahibi veya internet kullanıcısı bir birey olmanız bu risklerin var olduğu gerçeğini değiştirmiyor. Şirketinizin önemli verilerini ve itibarını kaybedebileceğiniz gibi, kişisel bilgilerinizi ve paranızı bu güvenlik tehditleri yüzünden kaybedebilirsiniz.

image-risk-ahaed-third-part(/content/images/2016/10/risk-ahead-e1450379633246-640x340.jpg)y

Aşağıda yakın geçmiş zamanda üçüncü parti uygulamalar veya servisler yüzünden gerçekleşmiş siber saldırılar hakkında haberler bulabilirsiniz.

Saldırganlar Çaldıkları W-2 Verileri ile Equifax Portalına Ulaştı

W-2 bir vergi formu yönetimi sitesi ve Equifax’ta kredi raporlarının görüntülenebileceği bir site. Equifax sitesi bu kredi raporunu çıkarabilmek için W-2 formundan faydalanıyor, yani üçüncü parti bir hizmet kullanıyor.

Saldırganlar bir Equifax servisi olan W-2Express’e çalışanların varsayılan PIN’lerini kullanarak giriş yapmayı başardı. Giriş yapabilmek için sahip olmaları gereken iki şey vardı; çalışanın sosyal güvenlik numarası ve doğum tarihi. Saldırganlar hedeflerine başarıyla girdikten sonra çok sayıda W-2Express kullanıcısının vergi ve maaş bilgilerini çaldı. Varsayılan PIN kodu sistemi Equifax kullanıcıları tarafından sıkça kullanıldığı için, Equifax ile birlikte çalışan başka şirketlerde böyle bir saldırıya maruz kalabilir.

Bizmatic’e Yapılan Saldırı 150K Hastanın Kayıtlarını Riske Attı

Bizmatic, 15.000’den fazla sağlık kurumuna hasta kayıtlarını elektronik olarak tutmalarına olanak veren bir yazılım sağlayıcısı. Çalınan kimlik bilgileri sayesinde Bizmatic’in dijital ortamına malware yüklemesi yapıldı. 2015 Ocak ayında yapılan saldırıdan Bizmatic anca 2015’in sonlarına doğru haberdar oldu. Bu saldırıdan dolaylı yoldan etkilenen bir kurum olan Vincent Vein Center gerekli yerlere saldırı konusunda bildiriler yaptı. İsim, adres, telefon ve sigorta bilgileri gibi oldukça spesifik bilgilerin çalınmış olabileceği bildirildi. Bu dönemde saldırıya uğrayan bütün sağlık kuruluşlarının Bizmatic firmasının PrognoCIS aracını kullandıkları belirlendi.

Las Vegas’ta ki Hard Rock Hotel & Casino POS Cihazları Yüzünden Hacklendi

Siber güvenlik tarihinde POS makineleri yüzünden gerçekleşen birçok saldırı bulabiliriz. Bu vakada da Hard Rock Hotel & Casino’nun kullandığı POS sisteminde malware bulundu. Ad, soy ad, kart numaraları, son kullanma tarihleri ve doğrulama kodları gibi bilgilerin çalındığı düşünüldüğünden dolayı bir soruşturma başlatıldı. İddiaya göre 27 Ekim 2015 – 21 Mart 2016 tarihleri arasında bahsi geçen otelde kartlarını kullanan müşterilerin risk altında olduğu açıklandı.

sheme-third-party

Üçüncü parti servis ve uygulamaların özellikle günümüz dünyasında çok önemli olduğunu unutmamak gerek. Birbirleriyle uygulama, cihaz veya benzer başka yollarla sürekli bağlantılı olan şirketler farkında olmadan birbirlerine zarar verebilirler. Bir şirket kendi içinde güvenliği tam anlamıyla sağlamış olsa bile, servis aldığı başka bir şirket dolayısıyla güvenlik açıklarına sahip olabilir. Ayrıca servis veren şirketlerin tek bir şirketten ziyade binlerce şirkete hizmet verdikleri için, benzer saldırılar zincirleme şekilde binlerce şirketi tehlikeye atabilir.