İçeriğe geçmek için "Enter"a basın

Marriott Otelleri’nin Hacklenmesinden Ne Ders Almalıyız?

2018 yılı Kasım ayı sonunda Marriot otelleri hacklendi ve çok büyük bir veri sızıntısı yaşadı. Bu haberin üzerinden vakit geçti ancak hem etkileri devam ediyor hem de haber deyip geçemeyeceğimiz kadar önemli bir olay olduğundan detaylı ele almaya karar verdik.

2018 yılının en kötü hacklenme olaylarından biri olarak kabul edilebilecek bu veri sızıntısı olayında birkaç önemli nokta dikkat çekiyordu;

  • Öncelikle Starwood grubu olarak bilinen ve içerisinde 70’den fazla ülkede 400’ün üzerinde tesisin yer aldığı, Ritz Carlton, JW Marriott, Sheraton gibi ülkemizde de bulunan otelleri de içine alan grubun yaşadığı veri sızıntısı, yarım milyon müşterisinin hem kişisel hem finansal bilgilerini içeriyordu.
  • Bu otellerden herhangi birinde geçtiğimiz 4 yıl içerisinde rezervasyon yapmış müşterileri kapsayan olayda Marriott’un açıklamasına göre saldırganlar 2014 yılından beri ağ ve sistemlerindeydi.
  • 327 milyon müşterinin isim, adres, telefon numarası, e-posta adresi, pasaport numarası, doğum tarihi, cinsiyet, otellerde kalış tarihleri, rezervasyon tarihleri ve iletişim tercihleri çalınan olayda saldırganların sisteme giriş tarihi tam olarak bulunamamıştı ama akıllara 2015 yılında Starwood’un 50 tesisinde veri sızıntısı yaşandığını duyurduğu gelmişti.
  • Bu dönemde veri sızıntısının bir yıl öncesinden yani 2014 yılından başladığı tahmin ediliyordu. 2015 yılında yapılan açıklamada, güvenlik ihlalinin yazar kasa sistemlerine bulaşan bir zararlı yazılım sonucunda gerçekleştiği ancak bunun bazı restoran, hediyelik eşya ve diğer ödeme sistemlerini kapsarken müşteri rezervasyon ve diğer üyelik işlemlerinin bu sızıntının dışında kaldığı belirtilmişti.

Yani hem etkilediği kişi sayısı açısından hem de saldırganların tespit edilmeden sistemde kaldığı süre açısından içler acısı bir olaydı diyebiliriz.

Elbette bu olay bir ilk değil, 2016 yılında büyük miktarda kredi kartı sahtekârlığının ortak noktasının, kredi kartı bilgileri çalınan kişilerin Intercontinental Otel Grubu’nda kalmış (Holiday Inn otelleri dâhil) kişiler olduğu anlaşılmıştı. Otel grubu bir aylık bir araştırmanın sonunda bunun yaklaşık 1000 tesisindeki restoran ve bar satış sistemlerine bulaşan bir zararlı yazılımdan kaynaklandığını açıklamıştı. Bazı otellerin ön bürolarına da bu zararlı yazılımın bulaştığı anlaşılmıştı.

Geçtiğimiz yıllarda Hilton gibi büyük otel zincirleri birkaç defa müşterilerinin kredi kartı bilgilerini çaldırdığını duyurdu.

Mariott otellerinin yaşamış olduğu 4 yıllık bir veri sızıntısını içeren ve 500 milyon müşterinin bilgilerinin çalınmasına yol açan olayın ana nedenini henüz tam olarak bilmiyoruz. Ancak, bu büyüklükte bir veri ihlalinin yaşandığını her gördüğümüzde olduğu gibi bu defa da siber güvenliğin hem kuruluşlar hem bireyler için geçerli olması gereken ana kurallarından bir tanesinin atlanmış olduğunu fark ediyoruz: sistemlerinize bir saldırı olduğunu varsayın.

Kuruluşlar için bu prensip şu anlama geliyor; kötü adamları sistemlerinizden tamamen uzak tutmak mümkün değil, bunu kabul etmek gerekiyor.

Bu demek değil ki geleneksel güvenlik önlemlerini bir kenara atın ve yazılım güncellemelerini hemen yapmaktan veya zararlı yazılımları bloklamaktan ya da en azından tespit etmekten vazgeçin, bunların yapılması gerektiğini hepimiz biliyoruz. Ancak, kuruluşlar zararlı yazılımları uzak tutmak için ne kadar kaynak kullanırsa kullansın tüm bunların boşa gitmesi için kullanıcılardan bir tanesinin zararlı bir linke tıklamasının yeterli olduğunun veya bir oltalama saldırısının yeteceğinin kabul edilmesi gerekiyor.

Fark edilmemiş bir güvenlik açığının henüz yama yayınlanmadan istismar edilmesi, saldırganın 1 doğru denemesine karşılık savunma yapan tarafın her daim 100 doğru hamleye ihtiyaç duyması gibi gerçeklerden söz ediyoruz.

Yalnız veri sızıntılarının engellenmesi değil, aynı zamanda saldırı tespiti ve erken yanıt verilmesi de eşit derece de önemli. Bu konu tek bir kanser hücresinin metastaza dönüşmesine benzetilebilir. Erken tespit etmek ve hemen önlem almak, çok daha büyük bir hastalığa yol açmadan önce hareket etmek, tek bir hücrenin tüm bir sisteme yayılmış ölümcül bir hastalığa yol açmasına engel olabilir.

Konunun ciddiyetinin farkında olan kuruluşlar, uzmanlar tarafından yapılan sızma testlerine, ağ ve sistemlerinde yer alabilecek zafiyetlerin tespitine, çalışanlardan kaynaklanabilecek açıklara gerekli bütçeleri ayırıyor, olası bir zafiyet karşısında alınabilecek duruşu önceden tasarlıyor ve Mariott olayında yaşandığı gibi çok büyük miktarlarda bir zarar ile karşılaşmamak için hem kuruluş verilerini hem de müşteri verilerini nasıl saklaması ve koruması gerektiğine dair yaratıcı yöntemler buluyor.

Bireysel olarak baktığımızda ise iki gerçeği kabullenmek lazım:

  1. Kötü adamlar gizli olması gerektiğine inandığınız kişisel verilerinize çoktan erişim sağladılar ve bunların içerisinde annenizin kızlık soyadından banka kredi geçmişinize kadar her şey var.
  2. Herhangi bir kuruluş ile paylaşmış olduğunuz herhangi bir bilgi çalınabilir, çalınmış veya çalınacak, sızacak, satılacak ve bu muhtemelen sizin suçunuz olmayacak. Ve bu olay olduğunda, sizin konu hakkında muhtemelen yapabileceğiniz hiçbir şey olmayacak.

Bu gerçekleri kabullendiğinizde anlıyorsunuz ki, başka bir şirketin sizin güvenliğinizi sizden daha iyi korumasını beklemek anlamlı değil.

Herhangi bir siteye kayıt olurken kullanmış olduğunuz parolanın eninde sonunda hackleneceğini, sızacağını ve online olarak satılacağını (bkz. 2. Madde) düşündüğümüzde, aynı parolayı farklı web sayfalarında birden fazla kere kullanmanın ne kadar kötü bir fikir olduğunu tekrar anlıyoruz mesela.

Bu da bize bir kere daha password manager (parola işletim) sistemlerinin iyi bir fikir olduğunu anımsatıyor, özellikle de aklında parola tutmaktan hoşlanmadığı için her web sayfasına aynı parolayı kullananlardan biriyseniz. Tek bir master parola ile diğer tüm parolalarınızı saklayabileceğiniz ve sizin için yeterince güçlü parolalar seçen programlar tam olarak bunun için var.

“Saldırı altında olduğunuzu varsayın” felsefesi, online ortamlarda paylaştığınız her şeye, kuruluş ile ilgili paylaştığınız her bilgiye, size gelen her e-postaya sürekli olarak şüphe ile yaklaşmak anlamına geliyor ve görünen o ki sizi koruyabilecek olan tek yol da bu.

Mariott olayında yaşandığı gibi, neredeyse sahip olduğunuz tüm bilgilerin tek seferde çalındığı bir veri sızıntısı düşünün; TC kimlik numaranız, adınız, soyadınız, adresiniz, telefon numaranız, e-posta adresiniz, hatta otellerde kalırken özel istekler kısmına girdiğiniz “maydanoza alerjim var” gibi en olmayacak kişisel bilgileriniz bile bir saldırganın eline geçtiğinde, hedefli bir oltalama saldırısına maruz kalmamanız için ne sebep olabilir? Ve sizi bundan ne koruyabilir? Bir tek şey: şüphe.

Bireysel olarak veya kuruluşumuz için sürekli olarak siber saldırılar konusunda şüphe duymak ve önlem almaya çalışmak dışında bizi koruyabilecek bir yol yok gibi görünüyor.

Özetle, başınıza böyle bir olay geldiğinde ”şimdi ne yapacağım?” demek yerine, gelmeden önce olaya Nasreddin Hoca gibi yaklaşıp “ya testi kırılsaydı” demenizi tavsiye ediyoruz.

2 Yorum

  1. Feridun Aktaş Feridun Aktaş 3 Ocak 2019

    Alper çok güzel yazı olmuş. Tebrik ederim. Diğer yazılarını da keyifle okudum/okuyacağım.
    Başarı ve bol şans dilerim

    • Alper Başaran Alper Başaran Yazar | 8 Ocak 2019

      Teşekkür ederim Feridun Bey. Ekibimle birlikte okunmaya değer ve faydalı olacak içerikler hazırlamak için uğraşıyoruz, sözleriniz bizim için çok kıymetli.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir