E-ticaret’in büyük güvenlik sınavı

20.12.2021
E-ticaret’in büyük güvenlik sınavı

9 Aralık’ta siber dünya oldu olabilecek belki en büyük zafiyetlerden birini popüler Java yazılım dilinde sıklıkla kullanılan ana kütüphane fonksiyonlarından biri olan Log4j’de keşfetti. Zafiyet sayesinde sunucularda uzaktan komut çalıştırmak, başka bir deyişle sadece yetkili kullanıcıların yapabileceği işlemleri ek bir yetki olmadan hackerlara yapma imkânı sağladı. Bu sebepten saldırının adı Log4jShell olarak adlandırıldı. Shell kelimesi sistem yöneticilerinin komut çalıştırma için açtığı komut pencerelerini temsil ettiği aktarıldı.

Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, bu problemi e-ticaret sektörü için büyük bir güvenlik sınavı olduğunu ve şirketler zafiyetlerini kapatmaya çalışırken çoktan müşteri bilgilerini çaldırmış olabileceğini belirtti. Açığı hızlıca kapatamayan e-ticaret sitelerinin KVKK yaptırımlarıyla karşı karşıya kalabileceğini aktarıldı. Sünbül, PCI DSS standardının bu tip durumlarla mücadeledeki önemine vurgu yaptı.

 

Problem çok derin ve kapatması zor

Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, problemin büyük bir problem olduğunu vurguladı. Sünbül, fonksiyonun sıklıkla kullanılan bir fonksiyon olduğunu belirterek özellikle e-ticaret gibi karmaşık yapılara sahip sitelerde zafiyetin etkisini arttırdığını aktardı. Şirketlerin bu açığı kapatmak için çalıştığını ancak zafiyeti fark etmeden çoktan ele geçirilmiş veya müşteri bilgilerinin çalınmış olabileceğini aktardı.

 

Neden e-ticaret’in büyük güvenlik sınavı?

Mazars Denge Danışmanlık Hizmetleri Ortağı Ateş Sünbül, bu problemi e-ticaret sektörü için büyük bir güvenlik sınavı olduğunu ve bunun iki ana unsuru olduğunu aktardı.

E-ticaret siteleri salgın nedeniyle son iki yıldır en yoğun şekilde kullanılan yapılar arasında yer alıyor. Sıklıkla kullanılmaları çok kullanıcıyı ortak bir noktada buluşturmaları ve çok göz önünde olmalarına sebep oluyor. Sünbül, bu durumun e-ticaret sitelerinin hackerlar için bir hedef haline getirdiğini belirtti.

İki unsura dikkat çeken Sünbül, e-ticaret site geliştiricilerinin çok süratli bir şekilde açıklığı kapatması için bir yarışa girdiklerini belirtti.

KVKK problemleri ve sızmalar gelebilir

Kişisel verileri koruma kanunu ile verilerimizin güvenliği için bir çerçeve çizilmişti. Bu çizilen çerçevenin bir parçası olan siber güvenlik için bu açıklık ciddi bir gedik noktasıdır. Sünbül, gedik noktasından Kişisel Verilerin sızmasının mümkün olabileceğini aktarırken açıklığı hızlıca kapatamayan sitelerin riske duruma düştüğünü ve gelecekte KVKK yaptırımlarıyla karşı karşıya kalabileceklerini belirtti.

 

Kredi kartı bilgileri de sızabilir

Danışmanlık Hizmetleri Ortağı Ateş Sünbül, e-ticarette sıklıkla kullanılan ve ödeme aracı olan kredi kartı PCI DSS ve benzeri standartlar sayesinde güvence altına alınabileceğini aktardı. Buna karşın Log4j bu bilgilerin sıklıkla hızlı alışveriş için saklandığı e-ticaret sitelerinde artık bir risk haline geldiğini belirtti. Sünbül, hackerların ana amacının finansal getiri olduğunu belirtti ve PCI DSS standardının bu tip durumlarla mücadele edilmesi için yol ve usülleri içerdiğini ancak bu araçların çok süratli şekilde işletilmesi gerektiğini vurguladı.

 

 

 

YAZAR BİLGİSİ
YORUMLAR

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.