Microsoft, Edge tarayıcısının parola yönetimiyle ilgili uzun süredir eleştirilen bir güvenlik açığını kapatmak için harekete geçti. Şirket, tarayıcının parolaları düz metin olarak belleğe yüklemesine neden olan sorunu çözen bir güncelleme yayınladı. Bu değişiklik, özellikle kurumsal kullanıcılar ve güvenlik araştırmacıları tarafından uzun süredir talep ediliyordu.

Yeni güncellemeyle birlikte Edge, parolaları artık işletim sistemi düzeyinde şifreleyerek bellekte saklayacak. Bu, daha önce olduğu gibi parolaların düz metin olarak okunabilmesini engelliyor. Microsoft, bu değişikliğin Windows Hello gibi biyometrik kimlik doğrulama yöntemleriyle uyumlu çalışacağını ve kullanıcıların parolalarını daha güvenli bir şekilde yönetmesine olanak tanıyacağını belirtti.

Sorun, ilk olarak güvenlik araştırmacıları tarafından tespit edilmişti. Araştırmacılar, Edge'in parolaları bellekte düz metin olarak tuttuğunu ve bu sayede kötü niyetli yazılımların bu parolalara erişebileceğini ortaya koymuştu. Bu durum, özellikle aynı bilgisayarı paylaşan kullanıcılar veya kurumsal ortamlar için ciddi bir güvenlik riski oluşturuyordu.

Microsoft, bu güncellemeyi Edge'in kararlı sürümüne dahil etti. Kullanıcılar, tarayıcıyı güncelleyerek bu yeni güvenlik önleminden yararlanabilir. Şirket, ayrıca kurumsal kullanıcılar için grup politikaları aracılığıyla bu özelliğin yönetilmesine olanak tanıyan seçenekler sunuyor.

Bu değişiklik, Microsoft'un tarayıcı güvenliğine verdiği önemi gösteriyor. Edge, son yıllarda Chromium tabanına geçmesiyle birlikte daha fazla kullanıcı kazanmıştı. Ancak parola güvenliği konusundaki bu açık, tarayıcının itibarına gölge düşürmüştü. Yeni güncelleme, bu sorunu ortadan kaldırarak Edge'i daha güvenilir bir seçenek haline getiriyor.

Kullanıcıların, bu güncellemeden tam anlamıyla yararlanabilmesi için Windows Hello veya benzeri bir biyometrik kimlik doğrulama yöntemini etkinleştirmesi gerekiyor. Ayrıca, işletim sistemi düzeyinde şifreleme sayesinde parolalar, yalnızca yetkili uygulamalar tarafından erişilebilir olacak. Bu, kötü amaçlı yazılımların parolalara ulaşmasını önemli ölçüde zorlaştırıyor.

Gelecekte Microsoft'un, Edge'in parola yöneticisine daha fazla güvenlik özelliği eklemesi bekleniyor. Şirket, ayrıca kullanıcıların parolalarını daha kolay yönetmesini sağlayacak yeni araçlar üzerinde çalışıyor. Bu güncelleme, Microsoft'un tarayıcı güvenliği konusundaki kararlılığının bir göstergesi olarak değerlendiriliyor.

OpenAI, kısa süre önce ortaya çıkan bir kod güvenliği sorunu ve macOS uygulamasındaki kritik bir zafiyet nedeniyle veri sızıntısı yaşadığını doğruladı. Şirket, bu güvenlik açıklarının bazı kullanıcı verilerinin yetkisiz erişime maruz kalmasına yol açtığını belirtti. Olay, yapay zeka devinin güvenlik protokollerine yönelik endişeleri yeniden gündeme taşıdı.

Teknik incelemeler, kod güvenliği açığının OpenAI'ın iç sistemlerindeki bir yapılandırma hatasından kaynaklandığını ortaya koydu. Bu hata, saldırganların belirli API anahtarlarına ve kullanıcı oturum bilgilerine erişmesine olanak tanıdı. macOS uygulamasındaki zafiyet ise, uygulamanın yerel depolama alanında hassas verileri şifrelemeden saklaması nedeniyle oluştu. Bu sayede kötü niyetli yazılımlar, kullanıcıların sohbet geçmişlerine ve kişisel bilgilerine ulaşabildi.

OpenAI, güvenlik ihlalini ilk olarak iç denetimler sırasında fark etti ve hemen bir yama yayınladı. Şirket, macOS uygulaması için güncelleme yayınlayarak yerel depolama şifrelemesini etkinleştirdi. Kod güvenliği açığı için ise sistem yapılandırmalarını gözden geçirdi ve erişim kontrollerini sıkılaştırdı. OpenAI, etkilenen kullanıcıları bilgilendirdiğini ve gerekli önlemleri aldığını duyurdu.

Bu olay, OpenAI'ın daha önce de benzer güvenlik sorunlarıyla karşılaştığı bir dönemde yaşandı. Geçtiğimiz yıl, bir kullanıcının sohbet geçmişinin yanlışlıkla başka bir kullanıcıya gösterilmesi gibi gizlilik ihlalleri yaşanmıştı. Şirket, bu tür olayların ardından güvenlik önlemlerini artırdığını ancak yine de eksiklikler olduğunu kabul etti. Uzmanlar, yapay zeka hizmetlerinin hızla büyümesiyle birlikte güvenlik açıklarının da arttığına dikkat çekiyor.

Kullanıcılar için bu durum, özellikle hassas verilerini OpenAI platformlarında paylaşanlar için endişe verici. Şirket, veri sızıntısının kapsamının sınırlı olduğunu ve kullanıcıların şifrelerini değiştirmelerini önerdi. Ayrıca, macOS kullanıcılarının uygulamayı en son sürüme güncellemeleri gerektiği vurgulandı. OpenAI, gelecekte bu tür olayların önüne geçmek için düzenli güvenlik denetimleri yapacağını ve üçüncü taraf güvenlik firmalarıyla çalışacağını belirtti.

Henüz bilinmeyen noktalar arasında, sızıntının ne kadar süredir devam ettiği ve kaç kullanıcının etkilendiği yer alıyor. OpenAI, bu bilgileri paylaşmak için henüz erken olduğunu ancak soruşturmanın devam ettiğini açıkladı. Şirket, ayrıca güvenlik açıklarının kötüye kullanılıp kullanılmadığını da araştırıyor. Gelecekte, OpenAI'ın güvenlik konusunda daha şeffaf olması ve kullanıcı verilerini korumak için daha sağlam önlemler alması bekleniyor.

Sony, PlayStation Network (PSN) tarafında tarihinin en zorlu güvenlik sınavlarından birini veriyor. Yaklaşık altı ay önce ilk kez gündeme gelen ve kullanıcı hesaplarının sadece bir "işlem numarası" ile ele geçirilmesine olanak tanıyan ciddi güvenlik açığı, tüm önlemlere rağmen hala kapatılamadı. İki adımlı kimlik doğrulama (2FA) ve geçiş anahtarı (passkey) gibi modern savunma hatlarını devre dışı bırakan bu açık, oyuncular için büyük bir risk oluşturuyor.

Açığın temelinde, PSN'nin hesap kurtarma sürecindeki bir zafiyet yatıyor. Saldırganlar, hedef hesaba ait bir işlem numarasını (örneğin, bir satın alma veya abonelik işleminin referans kodu) ele geçirdiklerinde, bu bilgiyi kullanarak müşteri hizmetleri üzerinden hesap sahipliğini kanıtlıyor. Sony'nin doğrulama adımları, bu numara ile kolayca aşılabiliyor ve saldırgan hesap şifresini sıfırlayarak tam erişim elde ediyor. 2FA ve passkey gibi ek güvenlik katmanları bu süreçte devreye girmiyor, çünkü hesap kurtarma işlemi bu özellikleri geçersiz kılıyor.

Bu güvenlik açığı ilk olarak altı ay önce bir güvenlik araştırmacısı tarafından raporlanmıştı. Araştırmacı, Sony'ye defalarca bildirimde bulunmasına rağmen şirketin sorunu çözmek için yeterli adımı atmadığını belirtti. Sony ise konuyla ilgili resmi bir açıklama yapmaktan kaçınırken, bazı kullanıcılar hesaplarının çalındığını ve içindeki dijital oyunların, kredi kartı bilgilerinin kullanıldığını bildirdi. Olay, özellikle PlayStation Plus aboneleri ve yüksek değerli oyun kütüphanelerine sahip oyuncular arasında büyük endişe yarattı.

Sony'nin bu açığı kapatmak için uyguladığı geçici önlemler yetersiz kalıyor. Şirket, müşteri hizmetleri sürecinde ek doğrulama adımları eklese de, saldırganlar sosyal mühendislik yöntemleriyle bu adımları aşmayı başarıyor. Uzmanlar, sorunun kökten çözülmesi için hesap kurtarma protokolünün tamamen yeniden tasarlanması gerektiğini vurguluyor. Bu süreçte kullanıcıların hesaplarını korumak için yapabilecekleri çok az şey var; en etkili yöntem, hesap kurtarma için kullanılan e-posta adresinin güçlü bir şifre ve 2FA ile korunması.

Bu güvenlik açığı, özellikle PlayStation Network'ün geniş kullanıcı tabanı düşünüldüğünde ciddi bir tehdit oluşturuyor. PSN, dünya genelinde 100 milyondan fazla aktif kullanıcıya sahip ve bu kullanıcıların büyük bir kısmı hesaplarına bağlı kredi kartı veya PayPal bilgileri bulunduruyor. Açığın uzun süredir çözülememiş olması, Sony'nin güvenlik konusundaki itibarını zedelemekle kalmıyor, aynı zamanda kullanıcıların platforma olan güvenini de sarsıyor.

Sony'nin bu sorunu ne zaman tamamen çözeceği belirsizliğini koruyor. Şirketin sessizliği, kullanıcılar arasında çeşitli spekülasyonlara yol açarken, bazı kaynaklar Sony'nin arka planda yeni bir hesap kurtarma sistemi üzerinde çalıştığını iddia ediyor. Ancak bu iddialar resmi olarak doğrulanmış değil. Önümüzdeki günlerde Sony'nin konuyla ilgili bir güncelleme yapması bekleniyor, ancak bu arada kullanıcıların hesaplarını korumak için ekstra önlemler almaları öneriliyor.

OpenAI, yapay zeka alanındaki öncü çalışmalarıyla tanınan şirket, geçtiğimiz günlerde ciddi bir siber saldırıya maruz kaldı. Şirket, TanStack adlı bir yazılım tedarikçisi üzerinden gerçekleştirilen tedarik zinciri saldırısında iki çalışanının cihazlarının etkilendiğini ve bazı hassas kimlik bilgilerinin çalındığını açıkladı. Saldırı, özellikle yazılım geliştirme süreçlerinde kullanılan araçların güvenliğine yönelik endişeleri yeniden gündeme getirdi.

Saldırının detaylarına göre, TanStack adlı bir kütüphane üzerinden yapılan müdahale sonucu OpenAI çalışanlarının cihazlarına sızıldı. Saldırganlar, bu cihazlardan çeşitli kimlik doğrulama bilgilerini ve oturum anahtarlarını ele geçirmeyi başardı. OpenAI, olayı tespit eder etmez gerekli güvenlik önlemlerini aldığını ve etkilenen hesapları devre dışı bıraktığını belirtti. Ancak çalınan verilerin tam kapsamı henüz netleşmiş değil.

Tedarik zinciri saldırıları, son yıllarda teknoloji şirketlerinin en büyük kabuslarından biri haline geldi. Bu tür saldırılarda, hedef şirketin doğrudan sistemleri değil, güvendiği üçüncü taraf yazılım veya hizmet sağlayıcıları hedef alınır. OpenAI'ın kullandığı TanStack, açık kaynaklı bir JavaScript kütüphanesidir ve birçok geliştirici tarafından yaygın olarak kullanılmaktadır. Saldırganların bu kütüphaneyi nasıl manipüle ettiği ise henüz tam olarak açıklanmadı.

OpenAI, olayın ardından tüm çalışanlarına güvenlik uyarıları gönderdi ve şirket içi protokolleri sıkılaştırdı. Ayrıca, etkilenen çalışanların cihazları yeniden formatlanırken, şifrelerin sıfırlanması ve iki faktörlü kimlik doğrulamanın zorunlu hale getirilmesi gibi adımlar atıldı. Şirket, kullanıcı verilerinin veya yapay zeka modellerinin bu saldırıdan etkilenmediğini vurguladı.

Bu olay, özellikle büyük teknoloji şirketlerinin tedarik zinciri güvenliğine ne kadar önem vermesi gerektiğini bir kez daha gösterdi. OpenAI gibi kritik altyapılara sahip bir şirketin bile bu tür saldırılara karşı ne kadar kırılgan olabileceği, sektörde geniş yankı uyandırdı. Uzmanlar, şirketlerin yalnızca kendi sistemlerini değil, kullandıkları tüm üçüncü taraf yazılımları da düzenli olarak denetlemesi gerektiğini belirtiyor.

Gelecekte, OpenAI'ın bu tür saldırılara karşı daha sağlam önlemler alması bekleniyor. Şirket, güvenlik açıklarını kapatmak için TanStack ile iş birliği yaparken, kendi yazılım geliştirme süreçlerinde de ek güvenlik katmanları eklemeyi planlıyor. Ancak çalınan kimlik bilgilerinin kötüye kullanılıp kullanılmayacağı henüz bilinmiyor. OpenAI, olayla ilgili soruşturmanın devam ettiğini ve gerekli yasal mercilere bilgi verildiğini açıkladı.