GitLab çalışanlarının %20'si kimlik bilgilerini çaldırdı - Haberler - indir.com

GitLab çalışanlarının %20'si kimlik bilgilerini çaldırdı

Tahmini Okuma Süresi : 2 ' 57 ''   Yayınlanma Zamanı : 2020-05-26 17:16:02
Editör : Ayça Yurttaarslan
Kategori : Teknoloji

Web tabanlı bir depolama uygulaması olan GitLab, geçtiğimiz günlerde çalışanlarına uyguladığı test sonucu çalışanların %20'sinin bilgileri kimlik avı dolandırıcılığından etkilendi.

Günümüzde artık neredeyse tüm işlerimizi halettiğimiz bir çözüm haline gelen internet teknolojilerinde birçok kullanıcı siber saldırılara ve kimlik hırsızlığına maruz kalıyor. Bu nedenle internet sektöründe de hizmet veren şirketler kimlik avı ve bilgi hırsızlığı girişimleri karşısında çalışanlardan hazırlıklı ve bilinçli olmalarını bekliyor. Ancak ne yazık ki zaman zaman bu alanda eğitim almış uzmanlar bile bir anlık dikkatsizlik sonucu bilgilerini çaldırabiliyor.

Siber güvenlik projesi Google Chronicle ciddi sorunlarla karşı karşıyaSiber güvenlik projesi Google Chronicle ciddi sorunlarla karşı karşıya

Özellikle verdiği kod depolama hizmeti ile ünlenen GitLab, geçtiğimiz hafta Çarşamba günü çalışanlarına bir kimlik hırsızlığı testi uyguladı. Bu noktada çalışanlarının bilgilerinin herhangi bir saldırıya karşılık güvende olduğundan emin olmak isteyen şirket yetkilileri için sonuçlar pek de iç açıcı olmadı.

Test esnasında GitLab'in her beş çalışanından biri test içerisinde gönderilen sahte e-postalara tıkladı. Şirket yetkilileri tarafından yapılan bu test, çok faktörlü kimlik doğrulaması gibi güvenlik araçlarını es geçerek direkt olarak çalışanları sahte bir giriş sayfasına yönlendiren e-postalar üzerinden direkt olarak GitLab giriş bilgilerini çalmaya yönelik bir yöntem üzerine kuruluydu.

Geliştiricilerin Kullanabileceği 10 Araç

Gerçekleştirilen testin arkasında GitLab ekibi, bunun için önce gitlab.company isimli bir domain aldı. Ardından, E-postaların diğer çalışanlarda şüphe uyandırmaması için yetkili ekip domain ismini dikkat çekmeyecek şekilde düzenleyerek sitesinin tüm SSL sertifikalarını ekledi ve bağlantıyı G Suite ile tüm çalışanlarına yolladı.

50 GitLab çalışanını hedef alan bu E-postalar da "Güncellemek için tıklayınız" ibaresinin ardındaki sahte sayfa çalışanların giriş bilgilerini çalmayı hedefliyordu. 50 kişilik ekipten sadece 17'si bu bağlantıya tıkladı. Bu kişilerden 10 tanesi ise sahte GitLab sitesine girmeye çalışarak kimlik bilgilerini çaldırmış oldu. E-postayı şüpheli olarak bildiren sadece 6 çalışan oldu.

Konuyla ilgili açıklama yapan güvenlik açığı tespit şirketi olan Red Canary Inc. Kurucu Ortağı Chris Rothe ise "Sahte E-postalarla yapılan kimlik hırsızlığı, hiçbir zaman tam olarak önüne geçilemeyecek bir güvenlik açığına örnek çünkü e-posta, iş dünyasında kritik bir öneme sahip. Bu yüzden E-posta sisteminin güvenlik standartlarından ziyade iş dünyasındaki kullanışlılığına göre tasarlanması gerekiyor. Bilgi teknolojisi ekiplerinin bu sahte E-postayla kimlik hırsızlığını azaltmak için hâlihazırda e-posta engelleme, eklentileri ayıklama ve çalışanlara farkındalık eğitimi verme gibi birçok taktiği bulunuyor fakat ne yazık ki ortada %100 etkili bir çözüm bulunmuyor." İfadelerini kullandı.

📰 Bizi Google News'den takip edin

2020 Siber Güvenlik Trendleri2020 Siber Güvenlik Trendleri
Türkiye’nin siber güvenlik üssü için geri sayım başladıTürkiye’nin siber güvenlik üssü için geri sayım başladı
PAYLAŞ