Sensitive Data Exposure

Niko7THT

İstihbarat Tim Asistanı
20 Nis 2020
119
12
Sensitive Data Exposure

Bu zafiyet türü verilerin şifrelerinin algoritmasını ortaya çıkarır.

Onun için kredi kartı bilgileri, parolalar, kişisel kayıtlar, firma belgeleri ve daha bir çok önemli bilgilerin şifrelenmesi gerekmektedir.

Aynı zamanda sunucu tarafında bilgiler kayıt altına alınırken şifrelense bile, bilgiler clien tan sunucuya aktarılırken şifrelenmeden gidiyor.Buda bir zafiyet oluşturmaktadır. Saldırgan client ile sunucu arasındaki olanları izleyip önemli bilgilere erişebilir. Bu yüzden sunucu tarafında şifrelemenin yanı sıra transfer esnasında da güçlü şifreleme kullanılmalıdır.

PicsArt_04-18-05.13.401e2ed5ed68c41dc6.md.png


Default olarak gelen şifreleme anahtarları değiştirilmelidir.
Eski şifreleme algoritmalarının yerine güçlü şifreleme algoritmaları kullanılmalıdır.
Verileri kaydederken şifreli bir şekilde kaydedilmelidir


Bilgisayar korsanları, para çalmak, kimliklerden ödün vermek veya karanlık web üzerinden satış yapmak için kişisel olarak tanımlanabilir bilgileri ve diğer verileri ararlar. Verilerin çalınması, değiştirilmesi veya imha edilmesi hedeflenebilir.

Verilerin açığa çıkması, verilerin bir veritabanında veya sunucuda herkesin görmesi için açıkta bırakılmasıdır. Sistemler ve uygulamalar için yapılandırma ayrıntıları çevrimiçi ortamda güvensiz bırakıldığında hassas veriler açığa çıkabilir.


PicsArt_04-18-05.11.4717f74d31ba011650.jpg


Web siteleri SSL kullanmıyorsa ve bilgi depolayan web sayfalarında HTTPS güvenliğine sahip değilse, verilerin açığa çıkma riski olabilir.


Verilerin açığa çıkması bir veri ihlalinden nasıl farklıdır?


Verilerin açığa çıkması, bir şirketin belirli bilgileri nasıl kullandığı ile bağlantılı olabilir. Bazen hassas veriler düz metin belgelerinde saklanabilir.

Web siteleri SSL kullanmıyorsa ve bilgi depolayan web sayfalarında HTTPS güvenliğine sahip değilse, verilerin açığa çıkma riski olabilir.

Verilerin açığa çıkmasının diğer yolları arasında, SQL enjeksiyonu veya diğer saldırı türleri tarafından tehlikeye atılabilecek bir veritabanında saklanması, zayıf kriptografik algoritmalar veya anahtarlar kullanılması, karma ve tuzlanmış parola uygulamalarının (ki bu, şifrelemeye benzer bir kriptografi biçimi) yer alır. ) ve diğer güvenli olmayan veri depolama. SQL enjeksiyonu, bir saldırganın bir uygulamanın veritabanına yaptığı sorgulara müdahale etmesini sağlayan bir kod enjeksiyon tekniğidir. Arka uç aracılığıyla bir veritabanından bilgi çalmak için kullanılabilir.

Şifrelenmiş şifreler tuzsuz olarak saklandığında şifrelerin açığa çıkması, yani şifreleme yoluyla tam olarak korunmadığı ve şifrenin kolayca şifrelenmemesine neden olduğu anlamına gelir. Karma ve tuzlanmış parolalar, parolanın (tuzlanmış veya değil) sunucunun nasıl okuyacağını bildiği bir tür kelime bulmacasına dönüştürüldüğü, parolanın sunucuda depolanması anlamına gelir. Bir web sitesinin hash özelliği güçlü değilse, şifreler bir veri teşhiri sırasında kolayca okunabilir

PicsArt_04-17-11.03.1274edd2e904ca7fda.png


Hassas verilere maruz kalma durumunda kendinizi nasıl koruyabilirsiniz?


Çevrimiçi hesaplarınızın her biri için benzersiz ve karmaşık bir şifre kullanın. Tüm bu parolaları takip etmek zor olabilir, ancak Norton Password Manager gibi bu görevin daha kolay yönetilmesine yardımcı olabilecek ürünler vardır.
Bankanızı ve diğer finansal hesaplarınızı izleyin. Tanımadığınız etkinlikler için hesaplarınızı düzenli olarak kontrol edin. Şirketler metin veya e-posta yoluyla etkinlik uyarıları veriyorsa, bunlara kaydolmanız sizin için mantıklı olabilir.
Kredi raporunuzu kontrol edin. Bir hırsızın sizin adınıza yeni bir kredi kartı veya başka bir hesap açmaya çalışıp çalışmadığını görmek için bunu düzenli olarak yapın.Mümkün olan en kısa sürede harekete geçin. Şüpheli bir etkinlik görürseniz, derhal ilgili finans kurumuyla iletişime geçin. Bilgileriniz bir veri ihlalinde çalındıysa, bunu onlara da bildirin.
Yalnızca güvenli URL'leri kullanın. Güvendiğiniz iyi bilinen bir web sitesini ziyaret ettiğinizden emin olun. Genellikle saygın siteler https: // ile başlar. "S" anahtardır. Bu, özellikle kredi kartı veya diğer kişisel bilgileri girerken önemlidir.
Yüksek kaliteli güvenlik yazılımı uygulayın. Kötü amaçlı yazılım ve virüs koruması içeren bir yazılım paketi kurun ve kullanın - ve her zaman güncel tutun


ICHN9n.png
 
Moderatör tarafında düzenlendi:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.