Pazar, Mayıs 22Önemli Haberler

‘Log4jShell e-ticaret için büyük bir güvenlik sınavı’

9 Aralık’ta siber dünya olabilecek en büyük zafiyetlerden birini, tanınan Java yazılım lisanında sıklıkla kullanılan ana kütüphane işlevlerinden Log4j’de keşfetti. Zafiyet sayesinde sunucularda uzaktan komut çalıştırmak, öteki bir deyişle yalnızca yetkili kullanıcıların yapabileceği süreçleri ek bir yetki olmadan hackerlara yapma imkânı sağladı. Bu sebepten taarruzun ismi Log4jShell olarak isimlendirildi. Shell sözü sistem yöneticilerinin komut çalıştırma için açtığı komut pencelerini temsil ettiği aktarıldı.

Sorun çok derin ve kapatması sıkıntı

Hususla ilgili değerlendirmelerde bulunan Mazars İstikrar Danışmanlık Hizmetleri Ortağı Ateş Sünbül, işlevin sıklıkla kullanılan bir işlev olduğunu belirterek bilhassa e-ticaret üzere karmaşık yapılara sahip sitelerde zafiyetin tesirini arttırdığını söyledi. Şirketlerin bu açığı kapatmak için çalıştığını lakin zafiyeti fark etmeden çoktan ele geçirilmiş yahut müşteri bilgilerinin çalınmış olabileceğini vurguladı.

Neden e-ticaret’in büyük güvenlik imtihanı?

Sünbül, bu sorunu e-ticaret kesimi için büyük bir güvenlik imtihanı olduğunu ve bunun iki ana ögesi olduğunu kaydederek, “E-ticaret siteleri salgın nedeniyle son iki yıldır en ağır formda kullanılan yapılar ortasında yer alıyor. Sıklıkla kullanılmaları çok kullanıcıyı ortak bir noktada buluşturmaları ve çok göz önünde olmalarına sebep oluyor” dedi.

Sünbül, bu durumun e-ticaret sitelerinin hackerlar için bir maksat haline getirdiğini belirtti. İki ögeye dikkat çeken Sünbül, e-ticaret site geliştiricilerinin çok hızlı bir formda açıklığı kapatması için bir yarışa girdiklerini söyledi.

KVKK sorunları ve sızmalar gelebilir

“Kişisel dataları muhafaza kanunu ile bilgilerimizin güvenliği için bir çerçeve çizilmişti. Bu çizilen çerçevenin bir kesimi olan siber güvenlik için bu açıklık önemli bir gedik noktasıdır” diyen Sünbül, “Gedik noktasından Şahsî Bilgilerin sızması mümkün olabilir. Açıklığı süratlice kapatamayan siteler riskli duruma düşer. Gelecekte KVKK yaptırımlarıyla karşı karşıya kalabilirler” sözlerini kullandı.

Kredi kartı bilgileri de sızabilir

Sünbül, e-ticarette sıklıkla kullanılan ve ödeme aracı olan kredi kartı PCI DSS ve gibisi standartlar sayesinde teminat altına alınabileceğini aktardı. Buna rağmen Log4j bu bilgilerin sıklıkla süratli alışveriş için saklandığı e-ticaret sitelerinde artık bir risk haline geldiğini belirten Sünbül, “Hackerların ana maksadı, finansal getiri. PCI DSS standard, bu tip durumlarla çaba edilmesi için yol ve yordamları içerir. Lakin bu araçlar, çok hızlı formda işletilmelidir” diyerek kelamlarını noktaladı.

Bir cevap yazın

istanbul escort | beylikdüzü escort | istanbul escort bayan | tesettürlü escort | halkalı escort | kayaşehir escort | şirienevler escort |