İşte 23andMe saldırısının nasıl gerçekleştiği ve farklı oturum açma erişim kontrolü çözümlerinin bunu nasıl durdurabileceği.  10 Ekim 2023'te 23andMe, kötü oyuncuların hırsızlık yaptığını duyurdu  . Daha da şaşırtıcı olanı, bilgisayar korsanlarının 23andMe kullanıcılarının isimleri, fotoğrafları, konumları ve genetik soy bilgileri dahil olmak üzere bu verileri karanlık ağda satması ve potansiyel olarak kurbanların etnik kökenlerine göre hedef alınmasına yol açmasıydı.   Milyonlarca kullanıcının kişisel, genetik ve etnik verileri  Bu makale 23andMe saldırısının nasıl gerçekleştiğini ve en önemlisi çeşitli oturum açma erişim kontrol teknolojilerinin 23andMe'nin bu saldırının gerçekleşmesini engellemesine nasıl yardımcı olabileceğini ele alıyor.   Hackerlar 23andMe'ye Nasıl Girdi?  23andMe bilgisayar korsanları, çoğu kişinin farklı web sitelerinde aynı kullanıcı adı/şifre kombinasyonlarını kullanmasına dayanan bir istismar olan "kimlik bilgisi doldurma"yı kullandı. Temel olarak, bilgisayar korsanları, saldırıya uğramış başka bir web sitesinden kullanıcı adı/şifre kombinasyonlarının bir listesini alır ve bunları hedeflemek istedikleri web sitesinde denerler.  Bunun güzel bir örneği,  . Bu, farklı web sitelerinden çalınan 8,4 milyar kimlik bilgisini içeren, halka açık bir dark web dosyasıdır. Muhtemelen bu listede veya başka bir listede güvenliği ihlal edilmiş kimlik bilgileriniz vardır; bu nedenle her web sitesinde benzersiz bir şifre kullanmak çok önemlidir.   RockYou2021 veritabanı  , "Verileri yer altı forumlarında satışa sunan çevrimiçi gönderiler, alıcıların 1.000 $ karşılığında 100 profil veya 100.000 $ karşılığında 100.000 kadar profil alabileceğini söyledi." İhlal yaklaşık 14 milyon hesabı etkiledi.   Washington Post'a göre  23andMe Neden Kimlik Bilgisi Doldurmaya Karşı Savunmasızdı?    göre: TechCrunch'a  "23andMe, şifrelerin yeniden kullanılması ve kullanıcıların genetik verileri kendileriyle eşleşen diğer kayıtlı kullanıcıların verilerini görmesine olanak tanıyan   adlı bir katılım özelliği nedeniyle bu olaydan müşterilerini sorumlu tuttu. Eğer bir kullanıcı bu özelliği etkinleştirmiş olsaydı, teoride, bilgisayar korsanlarının tek bir kullanıcının hesabına girerek birden fazla kullanıcının verilerini ele geçirmesine olanak tanırdı." DNA Relatives  Şifreleri yeniden kullanmaktan suçluysanız (çoğumuz öyledir), bu tür saldırılara karşı savunmasızsınız demektir. Ancak kötü şifre uygulamaları nedeniyle müşteriyi suçlamak pek de adil değil. Güçlü parolalara sahip 23andMe hesapları da saldırıya açıktı. “DNA Akrabaları” programının kullanıcı verilerini birbirine bağlaması nedeniyle, zayıf şifreli hesaplar, güçlü şifreli hesapları açığa çıkardı.  Sonuç olarak, erişim kontrolü söz konusu olduğunda kullanıcıların iyi şifre uygulamalarını benimsemelerine güvenmek kaybedilen bir stratejidir. Son istatistiklere göre:  İnsanların   tüm hesaplarında aynı şifreyi yeniden kullanıyor ( %13'ü    ) 2019 Google çalışması    birden fazla hesap için aynı yöntemi kullanıyor ( %52'si    ) 2019 Google araştırması    (sorumlular) her hesap için farklı şifre kullanıyor ( Sadece %35'i    ) 2019 Google araştırması  2022'de onaylanan ihlallerin   zayıf, yeniden kullanılan veya çalınan şifrelerden kaynaklandı %81'i  (   )  LastPass raporu  Bu istatistikler göz önüne alındığında, web sitesi yöneticilerinin şu sonuca varması kolaydır:  İyi şifre uygulamaları geliştirme konusunda kullanıcılara güvenin. Bu, web sitesi sahiplerine daha iyi oturum açma/erişim önlemleri uygulama konusunda açık bir sorumluluk yüklemektedir.  yapamamak  1Password Gibi Şifre Yöneticileri Hakkında Neler Var?  Parola yöneticileri, benzersiz parolaları oluşturmak ve takip etmek için harika bir çözüm sunar. Çoğu web tarayıcısında ücretsiz bir şifre yöneticisi bulunur ve   gibi ücretli hizmetler de vardır. Ancak her müşteriyi şifre yöneticisi kullanmaya zorlayamazsınız. Müşterilerin bağlantı kurduğu ve kişisel bilgileri otomatik olarak paylaştığı 23andMe gibi sosyal medya platformlarında ve sitelerde, iyi şifre uygulamalarını benimsemeyen kullanıcılar, bunu yapanları tehlikeye atacaktır. 1password  Ayrıca şifre yöneticileri kusursuz değildir. Bir bilgisayar korsanı ana şifreyi ele geçirirse HER ŞEYİ ele geçirir. Kötü amaçlı bir bağlantıya tıklayıp kimlik bilgilerinizi açığa çıkardığınız kimlik avı saldırıları da bir sorundur. York Üniversitesi Bilgisayar Bilimleri Bölümü'nden Dr. Siamak Shahandashti, aşağıdaki açıklamada   : bu güvenlik açıklarına dikkat çekti  “Şifre yöneticilerindeki güvenlik açıkları, bilgisayar korsanlarına kimlik bilgilerini ele geçirme, ticari bilgileri tehlikeye atma veya çalışan bilgilerini ihlal etme fırsatları sunuyor. Pek çok hassas bilginin bekçisi oldukları için şifre yöneticilerinin sıkı güvenlik analizi çok önemlidir.  "Çalışmamız, kötü amaçlı bir uygulamadan gelen kimlik avı saldırısının son derece mümkün olduğunu gösteriyor; eğer bir kurban, kötü amaçlı bir uygulamayı yüklemesi için kandırılırsa, otomatik doldurma isteminde kendisini meşru bir seçenek olarak sunabilecek ve başarı şansı yüksek olacaktır."  Sonuçta, şifre yöneticileri hiç yoktan iyidir ve   kalmanıza yardımcı olabilirler, ancak şifre yöneticilerine sahip kullanıcılar bile kullanıcı hesaplarının birbirine bağlanma ve kişisel bilgileri paylaşma şekli nedeniyle 23andMe saldırısında savunmasızdı.  daha güvende Web sitelerinin hesap erişimini korumak için daha fazlasının yapılması gerekiyor.   Çok Faktörlü Kimlik Doğrulama (MFA) Hakkında Neler Var?  Oturum açma güvenliğini artırmak için birçok web sitesi çok faktörlü kimlik doğrulamayı (MFA) kullanır. Birçok MFA türü vardır ve en popüler çözümler, kısa mesaj veya e-posta yoluyla geçici 2 faktörlü (2FA) bir şifre göndermeyi içerir ve kullanıcıları ek ancak sıkıcı bir kimlik doğrulama adımı gerçekleştirmeye zorlar.  23andMe, kullanıcılarına MFA sunmadı. Ancak olsa bile kısa mesaj ve e-posta tabanlı MFA çözümleri eskisi kadar güvenli değil. Çoğu durumda e-posta yalnızca bir parolayla korunur. Ayrıca bilgisayar korsanlarının SIM değişimi yoluyla bir akıllı telefonun kontrolünü ele geçirmesi nispeten yaygındır. Aslında   yaşananlar şunlar:  SEC'in Twitter hesabının yakın zamanda hacklenmesinde  Araştırmacılar ayrıca kısa mesaj tabanlı MFA'nın saldırılara karşı giderek daha savunmasız olduğu konusunda da hemfikir. Siber güvenlik firması   göre: Proofpoint'e  Güvenlik firması Proofpoint'ten araştırmacılar bir raporda, "Beklenenin aksine, MFA (çok faktörlü kimlik doğrulama) korumasına sahip kiracılar arasında hesap devralmalarında bir artış oldu" dedi. "Verilerimize göre, geçen yıl güvenliği ihlal edilen tüm kullanıcıların en az %35'inde MFA etkinleştirildi."  Bu güvenlik açıkları nedeniyle şirketler  artık sesli veya kısa mesaj kimlik doğrulamasını kullanan 2 faktörlü stratejilerin kullanılmasına karşı uyarıda bulunuyorlar. Microsoft'un kimlik güvenliği direktörü   :   Microsoft gibi Alex Weinert'e göre  “Bu mekanizmalar (kısa mesaja dayalı 2FA stratejileri), genel anahtarlamalı telefon ağlarına (PSTN) dayanmaktadır ve bunların günümüzde mevcut olan MFA yöntemleri arasında en az güvenli olanıdır. Bu boşluk, MFA'nın benimsenmesi, saldırganların bu yöntemleri kırmaya olan ilgisini artırdıkça daha da büyüyecektir […] Ancak,   tekrarlamakta fayda var; MFA'nın kullanılıp   değil,   MFA yönteminin kullanılacağını tartışıyoruz. ” MFA'nın önemli olduğunu kullanılmayacağını hangi     YubiKey Gibi Fiziksel Güvenlik Anahtarları Ne Olacak?    gibi fiziksel güvenlik anahtarları, telefonunuza veya bilgisayarınıza bağladığınız küçük cihazlardır. Bunlar, çok faktörlü kimlik doğrulama sürecine ek bir fiziksel "faktör" ekler. Google gibi pek çok şirket, çalışanlarının iş hesaplarına giriş yaparken Yubikey kullanmasını şart koşuyor. Kullanıcı anahtarı bağlamazsa erişim sağlayamaz. Yubico'nun Yubikey'i  Fiziksel güvenlik anahtarları güçlü bir güvenlik katmanı ekler. Ancak kuruluş büyüdükçe bu stratejiler de daha pahalı hale gelir. Anahtar başına 50 ila 105 ABD Doları arasında fiyatlandırılan Yubikey'leri büyük bir kuruluşun her çalışanına sağlamak pahalıdır. Ayrıca anahtarların gönderilmesi ve değiştirilmesindeki gecikmeler ve yönetim zorlukları da önemli bir yük oluşturmaktadır.  Daha sonra milyonlarca kullanıcısı olan 23andMe gibi halka açık web siteleriniz var. Halka açık bir web sitesinin veya sosyal medya platformunun her kullanıcısının 50 dolarlık bir donanım cihazı satın almasını zorunlu kılmak söz konusu bile olamaz.   Peki ya Cisco Duo Gibi Kapsamlı Güvenlik Çözümleri?    ve diğer kapsamlı güvenlik hizmetleri, oturum açma güvenliğini parolaların çok ötesinde geliştirmek için yüksek kaliteli iki faktörlü kimlik doğrulama (2FA) ve diğer kimlik doğrulama araçlarını sunar. Kullanıcılar erişimi telefon aramaları, anlık bildirimler ve fiziksel güvenlik anahtarları gibi ek adımlarla onaylar. Cisco Duo  Duo gibi kapsamlı güvenlik hizmetleri, kontrollü kullanıcı tabanlarına sahip işletmeler için idealdir. Ancak bunları 23andMe veya Facebook gibi bir web sitesinde milyonlarca kullanıcı için çalışacak şekilde ölçeklendirmek maliyet açısından pratik olmayacaktır.  İşte nedeni:    Kullanıcı başına Duo ücreti gibi kapsamlı güvenlik hizmetleri. Milyonlarca hesap için ücretlendirme yapmak iş açısından pratik olmayacaktır. Maliyetleri ölçeklendirme:    Duo'nun çok adımlı kimlik doğrulaması bazı kullanıcıları, özellikle de 2FA'ya aşina olmayanları caydırabilir. Kullanıcı sürtünmesi:    Milyonlarca Duo hesabını yönetmek, özel altyapı ve kaynaklar gerektirir. Operasyonel karmaşıklık:  Peki ya Google Authenticator Gibi Bir Authenticator Uygulama Çözümü?   Google Authenticator gibi bir 2FA çözümünü zorunlu kılmak, 23andMe kullanıcılarını korumanın uygun maliyetli bir yolu olabilirdi. Ancak Google Authenticator'ın bazı önemli güvenlik açıklarıyla birlikte geldiğini unutmamak önemlidir:    Saldırganlar, kullanıcı adlarını, şifreleri ve tek kullanımlık kodları çalan ikna edici sahte giriş sayfaları oluşturarak bilgisayar korsanlarının bir hesaba uzaktan erişmesine olanak tanıyabilir. Kimlik avı saldırıları:    Yanıltıcı taktikler, kullanıcıları tek kullanımlık kodlarını paylaşmaya veya onu açığa çıkaran kötü amaçlı yazılım indirmeye ikna edebilir. Sosyal mühendislik:    Birçok kullanıcının kimlik doğrulama anahtarlarını kaydeden bulut tabanlı yedeklemeleri vardır. Bilgisayar korsanları, bir bulut depolama hesabının güvenliğini ihlal ederek bu kimlik doğrulama verilerine erişebilir. Bulut yedekleme güvenlik açığı:      Google Authentator, kullanıcıların ek bir uygulama indirmesini ve bir güvenlik anahtarı girmesini gerektirir. Daha sonra, uygulamaya her giriş yaptıklarında, uygulamadan web sitesine geçici bir şifre aktarmaları gerekiyor, bu da giriş sürecine önemli miktarda zorluk ve sürtünme katıyor. Kullanıcı Sürtünmesi:    Kimlik doğrulama anahtarı kodunun kullanıcıya teslim edilmesi bir güvenlik açığı noktasıdır. Bilgisayar korsanları bu kodu ele geçirirse veya bir şekilde ele geçirirse Google Kimlik Doğrulama sürecinin tamamı tehlikeye girer ve uzaktaki bilgisayar korsanları hesaba her yerden erişebilir. Kimlik doğrulayıcı anahtarının ele geçirilmesi:  Bu güvenlik açıklarına rağmen Google Authenticator ve diğer kimlik doğrulama uygulamaları, yalnızca şifrelerle karşılaştırıldığında web sitesine giriş güvenliğini önemli ölçüde artırır. Bunun gibi bir kimlik doğrulama sistemi, 23andMe kimlik bilgileri doldurma saldırısını tamamen durdurabilirdi.  Invysta'nın Yaptığı Gibi Erişim Kontrolünü Giriş Cihazının Kendisine Bağlamaya Ne Dersiniz?  23andMe saldırısını önlemek için işe yaramış olabilecek başka bir çözüm daha var. Bu, yazılım tabanlı bir teknolojidir.  Bu, 23andMe kullanıcılarının oturum açma cihazlarını anında fiziksel güvenlik anahtarlarına dönüştürebilir ve fiziksel bir güvenlik anahtarıyla aynı düzeyde güvenlik sağlayabilir (gerçek anahtara ihtiyaç duymadan).    , Invysta Teknoloji Grubu  Invysta, her kullanıcı oturum açma cihazında bulunan benzersiz donanım ve yazılım tanımlayıcılarını tespit ederek ve bu tanımlayıcıları kopyalanması imkansız bir "Anonim Erişim Anahtarı" oluşturmak için kullanarak çalışır. Invysta, 23andMe kullanıcılarının akıllı telefonlarını veya dizüstü bilgisayarlarını fiziksel güvenlik anahtarlarına dönüştürerek, milyonlarca kullanıcısı olan web sitelerine, ek bir donanım satın almaya veya dağıtmaya gerek kalmadan en üst düzeyde erişim güvenliği sağlıyor; bu da uzaktaki bilgisayar korsanlarının kimlik bilgisi yürütmesini imkansız hale getiriyor doldurma saldırısı.  Elbette Invysta hala nispeten bilinmeyen bir teknoloji ve çoğu web sitesi sahibi bunun varlığından haberdar değil. Ancak zamanla bu çözüm, erişim kontrol alanında güçlü ancak uygun maliyetli bir strateji olarak itibar kazanabilir.   Son düşünceler  Bu makale, 23andMe'nin müşterilerine yönelik saldırıyı önlemesine yardımcı olabilecek çeşitli oturum açma erişim kontrolü çözümlerini inceledi. Ancak bu çözümlerden bazılarının bugün işe yaraması, gelecekte de çalışmaya devam edecekleri anlamına gelmiyor.  23andMe gibi hizmetlerdeki DNA ve etnik köken verilerimiz de dahil olmak üzere kendimiz ve ailelerimiz hakkında daha fazla ayrıntıyı çevrimiçi olarak paylaştıkça, sürekli gelişen dijital güvenlik alanı her zamankinden daha önemli hale geliyor. Aslında bu artık sadece maddi hayatlarımızı güvence altına almakla ilgili değil. Ailelerimizi nefret suçlarından, mahrem mahremiyet ihlallerinden ve diğer korkunç güvenlik açıklarından korumakla ilgilidir.  Önümüzdeki yıllarda bu tehlikeler artmaya ve değişmeye devam ettikçe, piyasada daha fazla siber güvenlik çözümünün ortaya çıkmasını bekleyebilirsiniz. Kuruluşlar, bu yeni teknolojileri erken uygulayarak 23andMe'nin yakın zamanda maruz kaldığı mali, itibari ve fiziksel güvenlik zararlarından kaçınabilir.

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

This story will praise and/or roast a product, company, service, game, or anything else people like to review on the Internet.

Hot off the press! This story contains factual information about a recent event.

Bu ses hikayenin orijinal dilinde üretilmiştir!

Çok uzun; Okumak

Download free Tech Leaders Productivity Report!

23andMe Hack'ini Ne Durdurmuş Olabilir?

About Author

YORUMLAR

ETİKETLERİ ASIN

BU YAZI

Related Stories

Forumlardan Feed'lere: Sosyal Medya Algoritmaları Dijital Etkileşimi Nasıl Şekillendiriyor

Floki'den Valhalla Hindistan'ın Sri Lanka Turuna Yardımcı Sponsor Olarak Katıldı

HackerNoon Yazma Yarışmasını mı Kazanmak İstiyorsunuz? İşte #crypto-api Yarışması Kazananlarının Önerileri

Kazanmak için Dokun: Telegram, Solana'dan Önce Sonraki 10 Milyar Kripto Kullanıcısına Katılabilir

Forumlardan Feed'lere: Sosyal Medya Algoritmaları Dijital Etkileşimi Nasıl Şekillendiriyor

Floki'den Valhalla Hindistan'ın Sri Lanka Turuna Yardımcı Sponsor Olarak Katıldı

HackerNoon Yazma Yarışmasını mı Kazanmak İstiyorsunuz? İşte #crypto-api Yarışması Kazananlarının Önerileri

Kazanmak için Dokun: Telegram, Solana'dan Önce Sonraki 10 Milyar Kripto Kullanıcısına Katılabilir

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps