ABD Siber Güvenlik Ajansı CISA, Açık Web'de Şifre ve Bulut Anahtarlarını İfşa Etti
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), düz metin şifreler ve bulut anahtarları içeren bir elektronik tabloyu herkese açık bir GitHub deposuna yükledi. Bağımsız gazeteci Brian Krebs'in raporuna göre, hassas bilgiler haftalarca erişime açık kaldı.
ABD'nin federal siber güvenlik ajansı CISA, hassas bilgileri içeren bir elektronik tabloyu herkese açık bir GitHub deposuna yükleyerek güvenlik ihlaline yol açtı. Bağımsız gazeteci Brian Krebs'in raporuna göre, söz konusu dosyada düz metin halinde şifreler ve bulut hizmeti anahtarları yer alıyordu. Bu durum, ajansın kendi güvenlik protokollerini sorgulatırken, kamuya açık platformlarda veri yönetiminin önemini bir kez daha gündeme getirdi.
Krebs'in tespitine göre, CISA'ya ait olduğu belirtilen GitHub deposunda bulunan elektronik tablo, haftalarca herkesin erişimine açık kaldı. Dosyada, ajansın kullandığı çeşitli sistemlere ait kullanıcı adları ve şifrelerin yanı sıra, bulut tabanlı hizmetlere erişim sağlayan API anahtarları da yer alıyordu. Bu tür bilgilerin kötü niyetli kişilerin eline geçmesi durumunda, ajansın sistemlerine sızma veya veri hırsızlığı gibi ciddi sonuçlar doğurabileceği belirtiliyor.
Olayın ortaya çıkmasının ardından CISA, söz konusu dosyayı depodan kaldırdığını ve bir soruşturma başlattığını duyurdu. Ajans sözcüsü, konuyla ilgili yaptığı açıklamada, "Güvenlik açığını derhal giderdik ve benzer olayların yaşanmaması için gerekli önlemleri alıyoruz" ifadelerini kullandı. Ancak, hassas verilerin ne kadar süreyle açık kaldığı ve bu süre zarfında herhangi bir yetkisiz erişim olup olmadığı henüz netlik kazanmadı.
Uzmanlar, bu tür olayların kamu kurumlarının siber güvenlik uygulamalarındaki zafiyetleri gözler önüne serdiğini vurguluyor. Özellikle, hassas bilgilerin şifrelenmeden veya erişim kontrolleri uygulanmadan paylaşılması, temel güvenlik prensiplerine aykırı olarak değerlendiriliyor. CISA'nın kendi görevi olan siber güvenlik konusunda bu tür bir hata yapması, kurumun itibarı açısından da soru işaretleri yaratıyor.
Krebs'in raporu, CISA'nın GitHub kullanımına ilişkin daha geniş bir sorunu da gündeme getirdi. Ajansın, kamuya açık depolarda hangi tür verileri paylaştığına dair net bir politika izlemediği ve çalışanların bu konuda yeterince eğitilmediği iddia ediliyor. Bu durum, gelecekte benzer sızıntıların yaşanma riskini artırıyor.
Olay, federal kurumların açık kaynak platformları kullanırken daha dikkatli olmaları gerektiğini bir kez daha hatırlatıyor. Uzmanlar, hassas bilgilerin asla düz metin olarak saklanmaması ve paylaşılmaması gerektiğini, ayrıca düzenli güvenlik denetimlerinin şart olduğunu belirtiyor. CISA'nın bu olaydan ders çıkararak, kendi iç süreçlerini gözden geçirmesi bekleniyor.
CISA, söz konusu GitHub deposunu kapatmış olsa da, olayın yankıları sürüyor. Ajansın, soruşturma sonuçlarını ve alınan önlemleri kamuoyuyla paylaşması bekleniyor. Bu tür bir güvenlik açığı, siber güvenlik alanında faaliyet gösteren bir kurum için özellikle utanç verici olarak nitelendiriliyor.
Microsoft Edge, Parolaları Şifreleyerek Güvenlik Açığını Kapatıyor
Microsoft Edge, parolaları düz metin olarak belleğe yükleyen güvenlik açığını gidermek için yeni bir güncelleme yayınladı. Artık parolalar, işletim sistemi düzeyinde şifrelenerek korunacak.
Microsoft, Edge tarayıcısının parola yönetimiyle ilgili uzun süredir eleştirilen bir güvenlik açığını kapatmak için harekete geçti. Şirket, tarayıcının parolaları düz metin olarak belleğe yüklemesine neden olan sorunu çözen bir güncelleme yayınladı. Bu değişiklik, özellikle kurumsal kullanıcılar ve güvenlik araştırmacıları tarafından uzun süredir talep ediliyordu.
Yeni güncellemeyle birlikte Edge, parolaları artık işletim sistemi düzeyinde şifreleyerek bellekte saklayacak. Bu, daha önce olduğu gibi parolaların düz metin olarak okunabilmesini engelliyor. Microsoft, bu değişikliğin Windows Hello gibi biyometrik kimlik doğrulama yöntemleriyle uyumlu çalışacağını ve kullanıcıların parolalarını daha güvenli bir şekilde yönetmesine olanak tanıyacağını belirtti.
Sorun, ilk olarak güvenlik araştırmacıları tarafından tespit edilmişti. Araştırmacılar, Edge'in parolaları bellekte düz metin olarak tuttuğunu ve bu sayede kötü niyetli yazılımların bu parolalara erişebileceğini ortaya koymuştu. Bu durum, özellikle aynı bilgisayarı paylaşan kullanıcılar veya kurumsal ortamlar için ciddi bir güvenlik riski oluşturuyordu.
Microsoft, bu güncellemeyi Edge'in kararlı sürümüne dahil etti. Kullanıcılar, tarayıcıyı güncelleyerek bu yeni güvenlik önleminden yararlanabilir. Şirket, ayrıca kurumsal kullanıcılar için grup politikaları aracılığıyla bu özelliğin yönetilmesine olanak tanıyan seçenekler sunuyor.
Bu değişiklik, Microsoft'un tarayıcı güvenliğine verdiği önemi gösteriyor. Edge, son yıllarda Chromium tabanına geçmesiyle birlikte daha fazla kullanıcı kazanmıştı. Ancak parola güvenliği konusundaki bu açık, tarayıcının itibarına gölge düşürmüştü. Yeni güncelleme, bu sorunu ortadan kaldırarak Edge'i daha güvenilir bir seçenek haline getiriyor.
Kullanıcıların, bu güncellemeden tam anlamıyla yararlanabilmesi için Windows Hello veya benzeri bir biyometrik kimlik doğrulama yöntemini etkinleştirmesi gerekiyor. Ayrıca, işletim sistemi düzeyinde şifreleme sayesinde parolalar, yalnızca yetkili uygulamalar tarafından erişilebilir olacak. Bu, kötü amaçlı yazılımların parolalara ulaşmasını önemli ölçüde zorlaştırıyor.
Gelecekte Microsoft'un, Edge'in parola yöneticisine daha fazla güvenlik özelliği eklemesi bekleniyor. Şirket, ayrıca kullanıcıların parolalarını daha kolay yönetmesini sağlayacak yeni araçlar üzerinde çalışıyor. Bu güncelleme, Microsoft'un tarayıcı güvenliği konusundaki kararlılığının bir göstergesi olarak değerlendiriliyor.
OpenAI, Kod Güvenliği Açığı ve macOS Zafiyeti Sonrası Veri Sızıntısını Doğruladı
OpenAI, hem kod güvenliğindeki bir açık hem de macOS uygulamasındaki kritik bir zafiyet nedeniyle veri sızıntısı yaşadığını kabul etti. Şirket, sorunları gidermek için adımlar attığını duyurdu.
OpenAI, kısa süre önce ortaya çıkan bir kod güvenliği sorunu ve macOS uygulamasındaki kritik bir zafiyet nedeniyle veri sızıntısı yaşadığını doğruladı. Şirket, bu güvenlik açıklarının bazı kullanıcı verilerinin yetkisiz erişime maruz kalmasına yol açtığını belirtti. Olay, yapay zeka devinin güvenlik protokollerine yönelik endişeleri yeniden gündeme taşıdı.
Teknik incelemeler, kod güvenliği açığının OpenAI'ın iç sistemlerindeki bir yapılandırma hatasından kaynaklandığını ortaya koydu. Bu hata, saldırganların belirli API anahtarlarına ve kullanıcı oturum bilgilerine erişmesine olanak tanıdı. macOS uygulamasındaki zafiyet ise, uygulamanın yerel depolama alanında hassas verileri şifrelemeden saklaması nedeniyle oluştu. Bu sayede kötü niyetli yazılımlar, kullanıcıların sohbet geçmişlerine ve kişisel bilgilerine ulaşabildi.
OpenAI, güvenlik ihlalini ilk olarak iç denetimler sırasında fark etti ve hemen bir yama yayınladı. Şirket, macOS uygulaması için güncelleme yayınlayarak yerel depolama şifrelemesini etkinleştirdi. Kod güvenliği açığı için ise sistem yapılandırmalarını gözden geçirdi ve erişim kontrollerini sıkılaştırdı. OpenAI, etkilenen kullanıcıları bilgilendirdiğini ve gerekli önlemleri aldığını duyurdu.
Bu olay, OpenAI'ın daha önce de benzer güvenlik sorunlarıyla karşılaştığı bir dönemde yaşandı. Geçtiğimiz yıl, bir kullanıcının sohbet geçmişinin yanlışlıkla başka bir kullanıcıya gösterilmesi gibi gizlilik ihlalleri yaşanmıştı. Şirket, bu tür olayların ardından güvenlik önlemlerini artırdığını ancak yine de eksiklikler olduğunu kabul etti. Uzmanlar, yapay zeka hizmetlerinin hızla büyümesiyle birlikte güvenlik açıklarının da arttığına dikkat çekiyor.
Kullanıcılar için bu durum, özellikle hassas verilerini OpenAI platformlarında paylaşanlar için endişe verici. Şirket, veri sızıntısının kapsamının sınırlı olduğunu ve kullanıcıların şifrelerini değiştirmelerini önerdi. Ayrıca, macOS kullanıcılarının uygulamayı en son sürüme güncellemeleri gerektiği vurgulandı. OpenAI, gelecekte bu tür olayların önüne geçmek için düzenli güvenlik denetimleri yapacağını ve üçüncü taraf güvenlik firmalarıyla çalışacağını belirtti.
Henüz bilinmeyen noktalar arasında, sızıntının ne kadar süredir devam ettiği ve kaç kullanıcının etkilendiği yer alıyor. OpenAI, bu bilgileri paylaşmak için henüz erken olduğunu ancak soruşturmanın devam ettiğini açıkladı. Şirket, ayrıca güvenlik açıklarının kötüye kullanılıp kullanılmadığını da araştırıyor. Gelecekte, OpenAI'ın güvenlik konusunda daha şeffaf olması ve kullanıcı verilerini korumak için daha sağlam önlemler alması bekleniyor.