Başarısız bir girişimde çalışanların verilerinin çalınma riski arttı. Bir güvenlik araştırmacısı, başarısız olan girişimlerde eski çalışanların, özel Slack mesajları gibi verilerin yanı sıra Sosyal Güvenlik numaraları ve potansiyel olarak banka hesapları gibi hassas bilgilere yönelik ciddi bir tehdit altınday olduğunu ortaya koydu.
Tehditin Kaynağı: Domain Satın Alma
Dylan Ayrey, bu durumu araştıran ve Andreessen Horowitz destekli Truffle Security adlı girişimin kurucu ortağı ve CEO’su. Ayrey, kötü niyetli hackerların, başarısız olan girişimlerin devredilen alan adlarını satın alarak, bu şirketlerin bulut yazılımlarına erişim sağladıkları bir açığı keşfetti. Bu tür bir yazılım, genellikle tüm çalışanlara erişim izni verdiğinden, hackerlar bu yollarla eski çalışanların e-posta adreslerine ulaşabiliyorlar.
Hackleme Süreci ve Sonuçları
Ayrey, bunu test etmek amacıyla bir başarısız girişimin alan adını satın aldı ve ChatGPT, Slack, Notion, Zoom gibi birçok platforma erişim sağladı. İnsan kaynakları sisteminde Sosyal Güvenlik numaraları bulmak bile mümkündü. Ayrey, “Bunun en büyük tehdit olduğunu düşünüyorum,” diyerek bulduğu bu açığın ne kadar tehlikeli olduğunu vurguladı.
Koruma Yöntemleri ve Hatalar
Google, bu riskleri azaltmak için bir teknolojiyi kullanıyor: “Sub-identifier” adı verilen, her Google hesabına özgü bir dizi numara. Eğer bu teknoloji düzgün yapılandırılırsa, Google, kullanıcıyı tanımlamak için hem e-posta adresini hem de bu tanımlayıcıyı gönderiyor. Ancak Ayrey, bu tanımlayıcıların bazı durumlarda yanılma payı olduğunu ve bu yüzden birçok güvenlik sağlayıcısının bunu kullanmadığını keşfetti. Google’ın, sub-identifier’ın asla değişmeyeceğini belirtmesine rağmen, bu konuda bazı orantısızlıkların yaşandığı iddia ediliyor.
Google’ın Geri Adımı ve Ödül Süreci
Başlangıçta Google, Ayrey’in bulgusunu “bir hata değil, dolandırıcılık sorunu” olarak reddetti. Ancak birkaç ay sonra, Ayrey’in ShmooCon konferansında yapacağı konuşma kabul edilince, Google konuyu yeniden değerlendirdi. Bu süreçte Ayrey’e 1,337 dolar ödül verildi. Bu durum, Ayrey’in daha önce Black Hat konferansında da benzer bir tecrübeye sahip olduğunu göstermekte.
Google, bu sorunları önlemek için girişimcilere bulut hizmetlerini kapatmalarını tavsiye ediyor. Girişimcilerin şirketlerini kapatma sürecinin karmaşık ve duygusal olarak zorlayıcı olduğunu belirten Ayrey, bazı prosedürlerin unutulabilmesi ihtimalinin olduğuna dikkat çekti. “Kurucular, şirketi kapatmak zorunda kaldıklarında, akıllarında birçok şey olmayabilir,” diyerek bu durumun zorluğuna da işaret etti.
