'Log4jShell e-ticaret için büyük bir güvenlik sınavı'
9 Aralık’ta siber dünya olabilecek en büyük zafiyetlerden birini, popüler Java yazılım dilinde sıklıkla kullanılan ana kütüphane fonksiyonlarından Log4j’de keşfetti. Zafiyet sayesinde sunucularda uzaktan komut çalıştırmak, başka bir deyişle sadece yetkili kullanıcıların yapabileceği işlemleri ek bir yetki olmadan hackerlara yapma imkânı sağladı. Bu sebepten saldırının adı Log4jShell olarak adlandırıldı. Shell kelimesi sistem yöneticilerinin komut çalıştırma için açtığı komut pencelerini temsil ettiği aktarıldı.
Problem çok derin ve kapatması zor
Konuyla ilgili değerlendirmelerde bulunan Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, fonksiyonun sıklıkla kullanılan bir fonksiyon olduğunu belirterek özellikle e-ticaret gibi karmaşık yapılara sahip sitelerde zafiyetin etkisini arttırdığını söyledi. Şirketlerin bu açığı kapatmak için çalıştığını ancak zafiyeti fark etmeden çoktan ele geçirilmiş veya müşteri bilgilerinin çalınmış olabileceğini vurguladı.
Neden e-ticaret’in büyük güvenlik sınavı?
Sünbül, bu problemi e-ticaret sektörü için büyük bir güvenlik sınavı olduğunu ve bunun iki ana unsuru olduğunu kaydederek, “E-ticaret siteleri salgın nedeniyle son iki yıldır en yoğun şekilde kullanılan yapılar arasında yer alıyor. Sıklıkla kullanılmaları çok kullanıcıyı ortak bir noktada buluşturmaları ve çok göz önünde olmalarına sebep oluyor” dedi.
Sünbül, bu durumun e-ticaret sitelerinin hackerlar için bir hedef haline getirdiğini belirtti. İki unsura dikkat çeken Sünbül, e-ticaret site geliştiricilerinin çok süratli bir şekilde açıklığı kapatması için bir yarışa girdiklerini söyledi.
KVKK problemleri ve sızmalar gelebilir
“Kişisel verileri koruma kanunu ile verilerimizin güvenliği için bir çerçeve çizilmişti. Bu çizilen çerçevenin bir parçası olan siber güvenlik için bu açıklık ciddi bir gedik noktasıdır” diyen Sünbül, “Gedik noktasından Kişisel Verilerin sızması mümkün olabilir. Açıklığı hızlıca kapatamayan siteler riskli duruma düşer. Gelecekte KVKK yaptırımlarıyla karşı karşıya kalabilirler” ifadelerini kullandı.
Kredi kartı bilgileri de sızabilir
Sünbül, e-ticarette sıklıkla kullanılan ve ödeme aracı olan kredi kartı PCI DSS ve benzeri standartlar sayesinde güvence altına alınabileceğini aktardı. Buna karşın Log4j bu bilgilerin sıklıkla hızlı alışveriş için saklandığı e-ticaret sitelerinde artık bir risk haline geldiğini belirten Sünbül, “Hackerların ana amacı, finansal getiri. PCI DSS standard, bu tip durumlarla mücadele edilmesi için yol ve usülleri içerir. Ancak bu araçlar, çok süratli şekilde işletilmelidir” diyerek sözlerini noktaladı.