Şirketler hazine değerindeki bilgilerini ikinci el cihaz fiyatına satıyor

Dijital güvenlikte dünya lideri olan ESET, kullanılmayan ve ikinci el piyasasında satılan kurumsal ağ cihazları olan yönlendiricilerle (router) ilgili yeni araştırmasını açıkladı. ESET, 16 farklı ağ cihazından gelen yapılandırma verilerini inceledikten sonra, bunların yüzde 56'dan fazlasının hassas şirket verileri taşıdığını tespit etti.

En basit tanımı ile iki ağ arasında güvenli bir şekilde veri aktarımı sağlamak için kullanılan donanımsal cihazlar olan yönlendiriciler bugün orta ve büyük ölçekteki her şirket tarafından kullanılıyor. ESET'in  gerçekleştirdiği araştırma kapsamında ikinci el piyasasından satın aldığı yönlendiricilerin yüzde 56'dan fazlası, kurumsal kimlik bilgileri, VPN ayrıntıları, kriptografik anahtarlar ve daha birçok hassas veriden oluşan bir hazine içeriyor. Bu veriler yanlış ellere geçtiğinde  veri ihlaline yol açabilecek ve şirketi, ortaklarını ve müşterilerini riske atabilecek bir siber saldırıya neden olabilir.

Tüm yapılandırma verilerinin olduğu bu dokuz cihazda aynı zamanda yüzde 22 oranında müşteri verisi, yüzde 33 oranında ağa üçüncü taraf bağlantılarının erişim sağlamasına yarayacak veriler, yüzde 44 oranında güvenilir bir taraf olarak diğer ağlara bağlanmak için kimlik bilgileri, yüzde 89 oranında belirli uygulamalara özgü bağlantı ayrıntıları, yüzde 89 oranında yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları,  yüzde 100 oranında bir veya daha fazla IPsec veya VPN kimlik bilgisi veya hashlenmiş root parolalar ve yine yüzde 100 oranında eski sahibini tespit etmek için yeterli veri yer alıyordu.

Şirketlerin planları istenmeyen kişilerin eline kolaylıkla geçebilir
Projeyi yöneten ESET Güvenlik Araştırmacısı Cameron Camp şu bilgileri paylaştı: “Tespit ettiklerimizin potansiyel etkisi son derece endişe verici  ve bir uyarı niteliğinde. Orta ölçekli ve kurumsal şirketlerin, eski cihazlarını kullanım dışı bırakmak için katı güvenlik önlemleri almasını bekliyorduk, ancak durum tam tersi yönde gelişti. İkinci el piyasasından aldığımız cihazların çoğunda şirketin dijital planının yanı sıra temel ağ bilgileri, uygulama verileri, kurumsal kimlik bilgileri ve ortaklar, satıcılar ve müşteriler hakkında bilgiler yer alıyor. Bu nedenle kuruluşlar kullanım dışı bıraktıkları cihazlarda hangi verilerin kaldığı konusunda daha dikkatli olmalıdır.”

Kuruluşlar, genellikle dijital ekipmanın güvenli bir şekilde imha edilmesini veya geri dönüştürülmesini ve bunların içerdiği verilerin silinmesini doğrulamakla görevli üçüncü taraf şirketler aracılığıyla eskiyen teknolojiyi geri dönüştürüyor. Bir e-atık şirketinden kaynaklanan hata veya şirketin kendi imha süreçlerinden kaynaklanan bir hata olsun, yönlendiricilerde birçok veriyi açığa çıkarıyor.

ESET Türkiye Genel Müdür Yardımcısı Erkan Tuğral yapılan araştırma ile ilgili şu değerlendirmeyi yaptı: “Birçok iş yeri ortamında artık kullanılmayan yönlendiriciler imha edilmeden yenisi ile değiştiriliyor. Ancak atılan yönlendiricinin kaderi, yerini alan yeni cihazın sorunsuz bir şekilde çalışması kadar önemli. Ne yazık ki, çoğu zaman bunu umursamıyoruz.  ESET araştırma ekibi, bir test ortamı yaratmak için birkaç kullanılmış yönlendirici satın aldı. Satın alınan cihazların birçoğunda daha önce kullanılan yapılandırmalar silinmemişti ve daha da kötüsü cihazlardaki verilerin silinmediğini öğrendiklerinde ekip üyeleri şaşkınlığa uğradı. Çünkü bu veriler ağ yapılandırmalarının ayrıntılarının yanı sıra yönlendiricinin önceki sahiplerini belirlemek için de kullanılabilir.

Tespit edilen bilgiler yönlendiricilerin ait olduğu kuruluşlarla paylaşıldı.
ESET’ten Cameron Camp ve Tony Anscombe şu bilgileri paylaştılar: “Bu araştırmadaki yönlendiriciler, orta ölçekli işletmelerden çeşitli sektörlerdeki küresel işletmelere (veri merkezleri, hukuk firmaları, üçüncü taraf teknoloji sağlayıcılar, üretim ve teknoloji şirketleri, yaratıcı firmalar ve yazılım geliştiriciler) kadar değişik birçok kuruluştan alındı. ESET bu araştırma çerçevesinde tespit ettiği bilgileri, yönlendiricilerin ait olduğu kuruluşlarla  paylaştı. Buradaki amaç, şirketlerin kullandıkları cihazların gözetim zincirindeki potansiyel risklerinden haberdar olmalarını sağlayarak işbirliği yapmaktı. Bilgi güvenliği ihlal edilmiş kuruluşlardan bazıları, ESET'in ısrarlı iletişim kurma girişimlerine şaşırtıcı şekilde tepkisiz kalırken, diğerleri olayı tam bir güvenlik ihlali olarak değerlendirip dikkate aldı. Kuruluşlara, cihazları imha etmek için güvenilir, yetkin bir üçüncü taraf firma ile anlaşmalarını veya kullanım dışı bırakma işlemini kendileri yapacaklarsa gerekli tüm önlemleri aldıklarından emin olmalarını hatırlatıyoruz. Bu durum, eski yönlendiricilerden, sabit sürücülerden ve ağın parçası olan herhangi bir cihaza kadar geniş bir yelpazeyi kapsıyor.

Bu araştırmadaki bazı kuruluşlar muhtemelen imha hizmeti veren, tanınmış firmalarla sözleşme yaptıklarını düşündü, ancak verileri yine de sızdırıldı. Bunu göz önünde bulundurarak kuruluşların, bir cihaz fiziksel olarak binadan çıkartılmadan önce, içindeki verileri kaldırmak için üretici yönergelerine uymalarını öneriyoruz; bu, birçok BT personelinin üstesinden gelebileceği kolay bir iştir. Bu durumun olası sonuçlarını  ciddiye almanızı tekrar hatırlatıyoruz. Aksi halde maliyetli bir veri ihlali ve önemli bir itibar kaybıyla karşı karşıya kalabilirsiniz.”