23andMe Hack'ini Ne Durdurmuş Olabilir?

İşte 23andMe saldırısının nasıl gerçekleştiği ve farklı oturum açma erişim kontrolü çözümlerinin bunu nasıl durdurabileceği.

10 Ekim 2023'te 23andMe, kötü oyuncuların hırsızlık yaptığını duyurdu Milyonlarca kullanıcının kişisel, genetik ve etnik verileri . Daha da şaşırtıcı olanı, bilgisayar korsanlarının 23andMe kullanıcılarının isimleri, fotoğrafları, konumları ve genetik soy bilgileri dahil olmak üzere bu verileri karanlık ağda satması ve potansiyel olarak kurbanların etnik kökenlerine göre hedef alınmasına yol açmasıydı.

Bu makale 23andMe saldırısının nasıl gerçekleştiğini ve en önemlisi çeşitli oturum açma erişim kontrol teknolojilerinin 23andMe'nin bu saldırının gerçekleşmesini engellemesine nasıl yardımcı olabileceğini ele alıyor.

Hackerlar 23andMe'ye Nasıl Girdi?

23andMe bilgisayar korsanları, çoğu kişinin farklı web sitelerinde aynı kullanıcı adı/şifre kombinasyonlarını kullanmasına dayanan bir istismar olan "kimlik bilgisi doldurma"yı kullandı. Temel olarak, bilgisayar korsanları, saldırıya uğramış başka bir web sitesinden kullanıcı adı/şifre kombinasyonlarının bir listesini alır ve bunları hedeflemek istedikleri web sitesinde denerler.

Bunun güzel bir örneği, RockYou2021 veritabanı . Bu, farklı web sitelerinden çalınan 8,4 milyar kimlik bilgisini içeren, halka açık bir dark web dosyasıdır. Muhtemelen bu listede veya başka bir listede güvenliği ihlal edilmiş kimlik bilgileriniz vardır; bu nedenle her web sitesinde benzersiz bir şifre kullanmak çok önemlidir.

Washington Post'a göre , "Verileri yer altı forumlarında satışa sunan çevrimiçi gönderiler, alıcıların 1.000 $ karşılığında 100 profil veya 100.000 $ karşılığında 100.000 kadar profil alabileceğini söyledi." İhlal yaklaşık 14 milyon hesabı etkiledi.

23andMe Neden Kimlik Bilgisi Doldurmaya Karşı Savunmasızdı?

TechCrunch'a göre:

"23andMe, şifrelerin yeniden kullanılması ve kullanıcıların genetik verileri kendileriyle eşleşen diğer kayıtlı kullanıcıların verilerini görmesine olanak tanıyan DNA Relatives adlı bir katılım özelliği nedeniyle bu olaydan müşterilerini sorumlu tuttu. Eğer bir kullanıcı bu özelliği etkinleştirmiş olsaydı, teoride, bilgisayar korsanlarının tek bir kullanıcının hesabına girerek birden fazla kullanıcının verilerini ele geçirmesine olanak tanırdı."

Şifreleri yeniden kullanmaktan suçluysanız (çoğumuz öyledir), bu tür saldırılara karşı savunmasızsınız demektir. Ancak kötü şifre uygulamaları nedeniyle müşteriyi suçlamak pek de adil değil. Güçlü parolalara sahip 23andMe hesapları da saldırıya açıktı. “DNA Akrabaları” programının kullanıcı verilerini birbirine bağlaması nedeniyle, zayıf şifreli hesaplar, güçlü şifreli hesapları açığa çıkardı.

Sonuç olarak, erişim kontrolü söz konusu olduğunda kullanıcıların iyi şifre uygulamalarını benimsemelerine güvenmek kaybedilen bir stratejidir. Son istatistiklere göre:

• İnsanların %13'ü tüm hesaplarında aynı şifreyi yeniden kullanıyor ( 2019 Google çalışması )
• %52'si birden fazla hesap için aynı yöntemi kullanıyor ( 2019 Google araştırması )
• Sadece %35'i (sorumlular) her hesap için farklı şifre kullanıyor ( 2019 Google araştırması )
• 2022'de onaylanan ihlallerin %81'i zayıf, yeniden kullanılan veya çalınan şifrelerden kaynaklandı ( LastPass raporu )

Bu istatistikler göz önüne alındığında, web sitesi yöneticilerinin şu sonuca varması kolaydır: yapamamak İyi şifre uygulamaları geliştirme konusunda kullanıcılara güvenin. Bu, web sitesi sahiplerine daha iyi oturum açma/erişim önlemleri uygulama konusunda açık bir sorumluluk yüklemektedir.

1Password Gibi Şifre Yöneticileri Hakkında Neler Var?

Parola yöneticileri, benzersiz parolaları oluşturmak ve takip etmek için harika bir çözüm sunar. Çoğu web tarayıcısında ücretsiz bir şifre yöneticisi bulunur ve 1password gibi ücretli hizmetler de vardır. Ancak her müşteriyi şifre yöneticisi kullanmaya zorlayamazsınız. Müşterilerin bağlantı kurduğu ve kişisel bilgileri otomatik olarak paylaştığı 23andMe gibi sosyal medya platformlarında ve sitelerde, iyi şifre uygulamalarını benimsemeyen kullanıcılar, bunu yapanları tehlikeye atacaktır.

Ayrıca şifre yöneticileri kusursuz değildir. Bir bilgisayar korsanı ana şifreyi ele geçirirse HER ŞEYİ ele geçirir. Kötü amaçlı bir bağlantıya tıklayıp kimlik bilgilerinizi açığa çıkardığınız kimlik avı saldırıları da bir sorundur. York Üniversitesi Bilgisayar Bilimleri Bölümü'nden Dr. Siamak Shahandashti, aşağıdaki açıklamada bu güvenlik açıklarına dikkat çekti :

“Şifre yöneticilerindeki güvenlik açıkları, bilgisayar korsanlarına kimlik bilgilerini ele geçirme, ticari bilgileri tehlikeye atma veya çalışan bilgilerini ihlal etme fırsatları sunuyor. Pek çok hassas bilginin bekçisi oldukları için şifre yöneticilerinin sıkı güvenlik analizi çok önemlidir.

"Çalışmamız, kötü amaçlı bir uygulamadan gelen kimlik avı saldırısının son derece mümkün olduğunu gösteriyor; eğer bir kurban, kötü amaçlı bir uygulamayı yüklemesi için kandırılırsa, otomatik doldurma isteminde kendisini meşru bir seçenek olarak sunabilecek ve başarı şansı yüksek olacaktır."

Sonuçta, şifre yöneticileri hiç yoktan iyidir ve daha güvende kalmanıza yardımcı olabilirler, ancak şifre yöneticilerine sahip kullanıcılar bile kullanıcı hesaplarının birbirine bağlanma ve kişisel bilgileri paylaşma şekli nedeniyle 23andMe saldırısında savunmasızdı. Web sitelerinin hesap erişimini korumak için daha fazlasının yapılması gerekiyor.

Çok Faktörlü Kimlik Doğrulama (MFA) Hakkında Neler Var?

Oturum açma güvenliğini artırmak için birçok web sitesi çok faktörlü kimlik doğrulamayı (MFA) kullanır. Birçok MFA türü vardır ve en popüler çözümler, kısa mesaj veya e-posta yoluyla geçici 2 faktörlü (2FA) bir şifre göndermeyi içerir ve kullanıcıları ek ancak sıkıcı bir kimlik doğrulama adımı gerçekleştirmeye zorlar.

23andMe, kullanıcılarına MFA sunmadı. Ancak olsa bile kısa mesaj ve e-posta tabanlı MFA çözümleri eskisi kadar güvenli değil. Çoğu durumda e-posta yalnızca bir parolayla korunur. Ayrıca bilgisayar korsanlarının SIM değişimi yoluyla bir akıllı telefonun kontrolünü ele geçirmesi nispeten yaygındır. Aslında SEC'in Twitter hesabının yakın zamanda hacklenmesinde yaşananlar şunlar:

Araştırmacılar ayrıca kısa mesaj tabanlı MFA'nın saldırılara karşı giderek daha savunmasız olduğu konusunda da hemfikir. Siber güvenlik firması Proofpoint'e göre:

Güvenlik firması Proofpoint'ten araştırmacılar bir raporda, "Beklenenin aksine, MFA (çok faktörlü kimlik doğrulama) korumasına sahip kiracılar arasında hesap devralmalarında bir artış oldu" dedi. "Verilerimize göre, geçen yıl güvenliği ihlal edilen tüm kullanıcıların en az %35'inde MFA etkinleştirildi."

Bu güvenlik açıkları nedeniyle şirketler Microsoft gibi artık sesli veya kısa mesaj kimlik doğrulamasını kullanan 2 faktörlü stratejilerin kullanılmasına karşı uyarıda bulunuyorlar. Microsoft'un kimlik güvenliği direktörü Alex Weinert'e göre :

“Bu mekanizmalar (kısa mesaja dayalı 2FA stratejileri), genel anahtarlamalı telefon ağlarına (PSTN) dayanmaktadır ve bunların günümüzde mevcut olan MFA yöntemleri arasında en az güvenli olanıdır. Bu boşluk, MFA'nın benimsenmesi, saldırganların bu yöntemleri kırmaya olan ilgisini artırdıkça daha da büyüyecektir […] Ancak, MFA'nın önemli olduğunu tekrarlamakta fayda var; MFA'nın kullanılıp kullanılmayacağını değil, hangi MFA yönteminin kullanılacağını tartışıyoruz. ”

YubiKey Gibi Fiziksel Güvenlik Anahtarları Ne Olacak?

Yubico'nun Yubikey'i gibi fiziksel güvenlik anahtarları, telefonunuza veya bilgisayarınıza bağladığınız küçük cihazlardır. Bunlar, çok faktörlü kimlik doğrulama sürecine ek bir fiziksel "faktör" ekler. Google gibi pek çok şirket, çalışanlarının iş hesaplarına giriş yaparken Yubikey kullanmasını şart koşuyor. Kullanıcı anahtarı bağlamazsa erişim sağlayamaz.

Fiziksel güvenlik anahtarları güçlü bir güvenlik katmanı ekler. Ancak kuruluş büyüdükçe bu stratejiler de daha pahalı hale gelir. Anahtar başına 50 ila 105 ABD Doları arasında fiyatlandırılan Yubikey'leri büyük bir kuruluşun her çalışanına sağlamak pahalıdır. Ayrıca anahtarların gönderilmesi ve değiştirilmesindeki gecikmeler ve yönetim zorlukları da önemli bir yük oluşturmaktadır.

Daha sonra milyonlarca kullanıcısı olan 23andMe gibi halka açık web siteleriniz var. Halka açık bir web sitesinin veya sosyal medya platformunun her kullanıcısının 50 dolarlık bir donanım cihazı satın almasını zorunlu kılmak söz konusu bile olamaz.

Peki ya Cisco Duo Gibi Kapsamlı Güvenlik Çözümleri?

Cisco Duo ve diğer kapsamlı güvenlik hizmetleri, oturum açma güvenliğini parolaların çok ötesinde geliştirmek için yüksek kaliteli iki faktörlü kimlik doğrulama (2FA) ve diğer kimlik doğrulama araçlarını sunar. Kullanıcılar erişimi telefon aramaları, anlık bildirimler ve fiziksel güvenlik anahtarları gibi ek adımlarla onaylar.

Duo gibi kapsamlı güvenlik hizmetleri, kontrollü kullanıcı tabanlarına sahip işletmeler için idealdir. Ancak bunları 23andMe veya Facebook gibi bir web sitesinde milyonlarca kullanıcı için çalışacak şekilde ölçeklendirmek maliyet açısından pratik olmayacaktır.

İşte nedeni:

• Maliyetleri ölçeklendirme: Kullanıcı başına Duo ücreti gibi kapsamlı güvenlik hizmetleri. Milyonlarca hesap için ücretlendirme yapmak iş açısından pratik olmayacaktır.
• Kullanıcı sürtünmesi: Duo'nun çok adımlı kimlik doğrulaması bazı kullanıcıları, özellikle de 2FA'ya aşina olmayanları caydırabilir.
• Operasyonel karmaşıklık: Milyonlarca Duo hesabını yönetmek, özel altyapı ve kaynaklar gerektirir.

Peki ya Google Authenticator Gibi Bir Authenticator Uygulama Çözümü?

Google Authenticator gibi bir 2FA çözümünü zorunlu kılmak, 23andMe kullanıcılarını korumanın uygun maliyetli bir yolu olabilirdi. Ancak Google Authenticator'ın bazı önemli güvenlik açıklarıyla birlikte geldiğini unutmamak önemlidir:

• Kimlik avı saldırıları: Saldırganlar, kullanıcı adlarını, şifreleri ve tek kullanımlık kodları çalan ikna edici sahte giriş sayfaları oluşturarak bilgisayar korsanlarının bir hesaba uzaktan erişmesine olanak tanıyabilir.
• Sosyal mühendislik: Yanıltıcı taktikler, kullanıcıları tek kullanımlık kodlarını paylaşmaya veya onu açığa çıkaran kötü amaçlı yazılım indirmeye ikna edebilir.
• Bulut yedekleme güvenlik açığı: Birçok kullanıcının kimlik doğrulama anahtarlarını kaydeden bulut tabanlı yedeklemeleri vardır. Bilgisayar korsanları, bir bulut depolama hesabının güvenliğini ihlal ederek bu kimlik doğrulama verilerine erişebilir.
• Kullanıcı Sürtünmesi: Google Authentator, kullanıcıların ek bir uygulama indirmesini ve bir güvenlik anahtarı girmesini gerektirir. Daha sonra, uygulamaya her giriş yaptıklarında, uygulamadan web sitesine geçici bir şifre aktarmaları gerekiyor, bu da giriş sürecine önemli miktarda zorluk ve sürtünme katıyor.
• Kimlik doğrulayıcı anahtarının ele geçirilmesi: Kimlik doğrulama anahtarı kodunun kullanıcıya teslim edilmesi bir güvenlik açığı noktasıdır. Bilgisayar korsanları bu kodu ele geçirirse veya bir şekilde ele geçirirse Google Kimlik Doğrulama sürecinin tamamı tehlikeye girer ve uzaktaki bilgisayar korsanları hesaba her yerden erişebilir.

Bu güvenlik açıklarına rağmen Google Authenticator ve diğer kimlik doğrulama uygulamaları, yalnızca şifrelerle karşılaştırıldığında web sitesine giriş güvenliğini önemli ölçüde artırır. Bunun gibi bir kimlik doğrulama sistemi, 23andMe kimlik bilgileri doldurma saldırısını tamamen durdurabilirdi.

Invysta'nın Yaptığı Gibi Erişim Kontrolünü Giriş Cihazının Kendisine Bağlamaya Ne Dersiniz?

23andMe saldırısını önlemek için işe yaramış olabilecek başka bir çözüm daha var. Bu, yazılım tabanlı bir teknolojidir. Invysta Teknoloji Grubu , Bu, 23andMe kullanıcılarının oturum açma cihazlarını anında fiziksel güvenlik anahtarlarına dönüştürebilir ve fiziksel bir güvenlik anahtarıyla aynı düzeyde güvenlik sağlayabilir (gerçek anahtara ihtiyaç duymadan).

Invysta, her kullanıcı oturum açma cihazında bulunan benzersiz donanım ve yazılım tanımlayıcılarını tespit ederek ve bu tanımlayıcıları kopyalanması imkansız bir "Anonim Erişim Anahtarı" oluşturmak için kullanarak çalışır. Invysta, 23andMe kullanıcılarının akıllı telefonlarını veya dizüstü bilgisayarlarını fiziksel güvenlik anahtarlarına dönüştürerek, milyonlarca kullanıcısı olan web sitelerine, ek bir donanım satın almaya veya dağıtmaya gerek kalmadan en üst düzeyde erişim güvenliği sağlıyor; bu da uzaktaki bilgisayar korsanlarının kimlik bilgisi yürütmesini imkansız hale getiriyor doldurma saldırısı.

Elbette Invysta hala nispeten bilinmeyen bir teknoloji ve çoğu web sitesi sahibi bunun varlığından haberdar değil. Ancak zamanla bu çözüm, erişim kontrol alanında güçlü ancak uygun maliyetli bir strateji olarak itibar kazanabilir.

Son düşünceler

Bu makale, 23andMe'nin müşterilerine yönelik saldırıyı önlemesine yardımcı olabilecek çeşitli oturum açma erişim kontrolü çözümlerini inceledi. Ancak bu çözümlerden bazılarının bugün işe yaraması, gelecekte de çalışmaya devam edecekleri anlamına gelmiyor.

23andMe gibi hizmetlerdeki DNA ve etnik köken verilerimiz de dahil olmak üzere kendimiz ve ailelerimiz hakkında daha fazla ayrıntıyı çevrimiçi olarak paylaştıkça, sürekli gelişen dijital güvenlik alanı her zamankinden daha önemli hale geliyor. Aslında bu artık sadece maddi hayatlarımızı güvence altına almakla ilgili değil. Ailelerimizi nefret suçlarından, mahrem mahremiyet ihlallerinden ve diğer korkunç güvenlik açıklarından korumakla ilgilidir.

Önümüzdeki yıllarda bu tehlikeler artmaya ve değişmeye devam ettikçe, piyasada daha fazla siber güvenlik çözümünün ortaya çıkmasını bekleyebilirsiniz. Kuruluşlar, bu yeni teknolojileri erken uygulayarak 23andMe'nin yakın zamanda maruz kaldığı mali, itibari ve fiziksel güvenlik zararlarından kaçınabilir.