Tarayıcı eklentileri kurumsal sırları nasıl sızdırıyor

Eylül 13, 2019

2019 yılı Temmuz ayında araştırmacı Sam Jadali, Chrome ve Firefox tarayıcılarında tarayıcı geçmişini kaydeden ve üçüncü taraflara gönderen bazı eklentiler keşfetti. Dahası, bu verilerin alınıp satıldığı bir platform da buldu.

Bu sizi alarma geçirmiyor olabilir. Birileri çalışanlarınızdan birinin sosyal bir ağda bir yüklenicinin internet sitesine girdiğini ve hatta kurumsal bir hesapta oturum açtığını fark etse ne çıkar? Saldırganların öğreneceği tek şey adrestir. Başka bir bilgiye erişemeyeceklerine göre kimin umrunda? İşin aslı bu eklentiler düzenli olarak kurumiçi verileri sızdırır. Aşağıda bunu nasıl yaptıklarını açıklıyoruz.

Hakkınızdaki her şeyi ortaya koyan bağlantılar

Sosyal ağlarda ve yüklenicilerinizin ve ortaklarınızın resmi internet sitelerinde muhtemelen gizli bilgiler ifşa edilmez. Daha çok, sadece eşsiz bağlantılarla erişilebilen “kapalı” sayfaların bilgi sızdırma amacıyla kullanılabileceği konusunda endişelenmelisiniz. Gerçekte, bu sayfaları koruyan tek şey gizlilikleridir: Üçüncü şahıslar bunların adresini bilmez. Aşağıda bu sayfalara bazı örnekler verilmiştir.

Çevrimiçi toplantılar

Şirketinizin, farklı departmanlardan çalışanların mevcut planları görüştüğü, beyin fırtınası yaptığı veya sadece yönetimden bilgi aldığı Web konferansları yaptığını farz edelim. Bu tip konferansların yapılabildiği çok sayıda platform mevcuttur. Bazılarına katılmak için anahtar gerekir ancak küçük firmalar çoğunlukla toplantıyı düzenleyenin ilgili taraflara gönderdiği eşsiz bir toplantı tanımlayıcısı içeren bir bağlantıdan başka bir şey gerektirmeyen ücretsiz ya da uygun fiyatlı çözümler kullanır. Bir katılımcının bir etkinliğe katılması için gereken tek şey budur.

Şimdi, bu bağlantının gönderildiği çalışanlardan birinin tarayıcısında bilgileri üçüncü taraflara aktaran bir eklenti yüklü olduğunu düşünelim. İlgili şahıs konferansa katılır katılmaz, bu kötü amaçlı eklenti konferansın URL’sini bir pazara gönderir. Şirketiniz hakkında bilgi toplamaya çalışan ya da sadece bir fırsat arayan saldırgan, çalışanın tarayıcı geçmişini satın alır, böylelikle erişilebilir toplantılardan birinin o anda gerçekleşmekte olduğunu görebilir.

Bu bağlantıyı satın alan kişinin toplantıya katılmasını önleyen hiçbir şey yoktur. Tabii ki diğer katılımcılar, etkinliğe birinin katıldığına dair bildirim alır. Ancak, örneğin otuz-kırk kişinin katıldığı ve tamamının birbirini tanımadığı toplantılarda, bu bilinmeyen katılımcının kim olduğu pek de sorgulanmayacaktır. Sonuç olarak üçüncü taraf, konferansta konuşulan her şeyi öğrenmiş olacaktır.

Tedarikçilerden gelen online faturalar

Şirketinizin tedarikçiler, online fatura hizmetleri kullanıyor olabilir. Bazı hizmetlerde ödeme faturalarına, başkalarının erişimine açık eşsiz bir bağlantı üzerinden erişilmesi söz konusudur. Bir saldırgan, böyle bir faturaya erişmesi durumunda, şirketinizin ve tedarikçi şirketin adını ve adresini, ödenen tutarı ve başka bilgileri öğrenebilir.

Çoğu durumda, bu bilgilerin yanlış ellere düşmesinden kötü bir şey çıkmayacağı doğrudur. Ancak toplum mühendisliği ile uğraşan kişiler için bu faturalar değerli bilgiler içerir.

İş belgeleri

Pek çok şirket, işbirliği çerçevesinde Google Drive gibi online hizmetler kullanıyor. Teoride üçüncü tarafların açmasını engellemek için dosyalara erişimi kısıtlamanıza izin verirler. Ancak, herkes paylaşılan dosyalarda bu kısıtlamaları uygulamaz. Çoğu zaman elinde bir dosyaya bağlantı olan kişiler belgeyi görüntüleyebilir ve hatta düzenleyebilir.

Üstelik bu belgelerde fiyat tekliflerinden personelin kişisel verilerine kadar her türlü bilgi yer alabilir.

Büyük ölçekli veri sızıntılarına karşı kendinizi nasıl korursunuz

Sızıntı riskini en aza indirgemek için, çalışanlarınıza herhangi bir tarayıcı eklentisi yüklemeden önce çok ihtiyatlı davranmalarını ve kullandıkları online hizmetin izin vermesi halinde, paylaşmadan önce dokümana erişimi kısıtlamaları gerektiğini hatırlatın. Doğrulanmış tarayıcı eklentilerinin yer aldığı onaylı bir liste verip, geri kalanları potansiyel tehlike görüp yasaklamak yönetim açısından en iyi uygulama olacaktır.

Ayrıca, şirketin kullandığı online hizmetleri analiz edin ve kimlik doğrulaması istemeden sadece bağlantıyla erişime izin verenleri belirleyin. Şayet bir hizmet eline bağlantı geçen herkese erişim sağlıyorsa, daha güvenli bir alternatife yönelin.

Son olarak, her şirket bilgisayarına diğer siber tehditlerin yanı sıra kötü amaçlı eklentileri yükleme girişimlerini önleyecek güvenilir bir güvenlik çözümü kurulması şarttır.