Geçtiğimiz günlerde dünyanın en büyük finans kuruluşu olan Citigroup’a ait olan Citibank’ın hesapları hackerlar tarafından adeta yağmalandı. Tahminen 360,000 civarında kullanıcının hesap bilgilerin ele geçirildiği ve üzerinde oynandığı tahmin ediliyor. İşin aslı bu ilk defa da olmuyor, CitiBank daha önce de bir saldırıya uğramış ve güvenlik önlemlerini artırdığını açıklamıştı. Ve zaten bu yazının ana konusu da CitiBank’ın saldırıya uğramış olması değil, o eski haber.
Olayın üzerinden biraz zaman geçince hackerların saldırıyı nasıl gerçekleştirdikleri ortaya çıktı ki esas bahsedeceğimiz husus bu. Hiç nette dolaşırken tarayıcının adres penceresinde görünen satırda değişiklik yaparak, aynı site içinde farklı bir kısma erişmeyi denediğiniz oldu mu? Eğer özel güvenlik önlemleri alınmadıysa, bunu herhangi bir siteye uygulayabilir ve zaten yayında olan ya da gizlenmiş bir başka alana geçiş yapabilirsiniz. Peki ya bir bankada adres satırındaki bir veri parçasını değiştirerek başka bir kullanıcının hesabına girebiliyorsanız ne olacak?
Bunun cevabı basittir, böyle birşey asla olmamalıdır! Ama işte CitiBank kullanıcılarından bazıları bunun mümkün olduğunu farketmiş ve ardından da bu yolla yüzbinlerce hesabı patlatmışlar! Bir bankanın güvenliğinin bu denli kolay aşılabilmiş olması tüyler ürpertici değil mi? Uzmanlara göre aslında bu pek de şaşırtıcı bir durum değil! Sorun şu ki, özellikle çok büyük boyutlu kuruluşlarda, herhangi bir işin farklı tarafları çok farklı bölümlerce yürütülebiliyor.
Mesela bir web sitesinin kullanıcı arabirimini tasarlamak bir bölümün işiyken, güvenlik önlemlerini uygulamak ise bir başka bölümün işi olabiliyor. İşin kötüsü, bu iki farklı böölüm çok çeşitli sebeplerden dolayı birbirleriyle ortak bir çalışma yürütmeyip, sonuçta ortaya ciddi açıkların çıkmasına sebep olabiliyor. Daha da kötüsü, çoğu uzmanın kabul ettiği bir gerçek var; eğer iş müşteri memnuniyeti ve müşteri güvenliği arasında seçim yapmayı gerektiren bir noktaya varırsa, çoğu firma güvenliği rahatça arka plana atabiliyor! Sonuçta ortaya kullanması kolay ama güvenliği yerlerde sürünen arabirimler çıkabiliyor. Tıpkı insanların rahatsız olduğunu öne sürerek emniyet kemeri takmaması gibi!
İşin kötüsü, sıradan bir kullanıcının güvenlik konusuna şahsi önem vermesi de bu noktada pek işe yaramayabiliyor. İstediğiniz kadar güvenli bir parola seçin, işlem yaptığınız web sitesindeki güvenlik açıklarını kapatmanıza imkan yok. Ve düşünün ki, bu güvenlik açıkları dünyanın en büyük bankasında bile ortaya çıkabiliyor!
