Türkiye, son günlerde PTT’nin Hızlı Geçiş Sistemi (HGS) platformu ve Anadolu Sigorta’nın “Sigortam Cepte” uygulamasını hedef alan siber saldırılarla çalkalanıyor. Siber güvenlik uzmanları, bu olayların arkasında OneSignal framework’ünün API anahtarlarının kötüye kullanılması olduğunu açıkladı. Benzer teknolojilere sahip diğer uygulamalar için de riskin devam ettiği belirtiliyor. İşte yaşananların detayları ve perde arkası…
Saldırıların temelinde, OneSignal framework’ünün API anahtarlarının güvenli olmayan ortamlarda saklanması yatıyor. Uygulama geliştiricilerinin bu anahtarları JavaScript dosyalarına eklemesi, kötü niyetli kişilerin erişimini kolaylaştırdı. OneSignal CEO’su George Deglin, sosyal medya platformu X’te yaptığı açıklamada, yaşananlardan üzüntü duyduklarını ve durumu incelediklerini ifade ederek şunları söyledi:
“OneSignal altyapısı doğrudan etkilenmedi. Ancak uygulama geliştiricilerin API anahtarlarını güvenli şekilde saklamaması bu duruma yol açtı. Ek güvenlik önlemleri için IP izin listesi gibi yöntemler öneriyoruz.”
Anadolu Sigorta’nın “Sigortam Cepte” uygulaması, PTT’nin HGS platformuna yönelik saldırıdan bir gün önce benzer bir olayla karşı karşıya kaldı. Ele geçirilen API anahtarlarının, kullanıcı verilerinin güvenliği açısından ciddi risk oluşturduğu kaydedildi. Her iki olay, API güvenliğinin önemini bir kez daha gündeme taşıdı.
Siber güvenlik uzmanları, bu tür saldırılara karşı alınabilecek önlemleri şöyle sıralıyor:
Uzmanlara göre, API anahtarlarına dayalı güvenlik açıkları, OneSignal gibi framework’leri kullanan birçok uygulama için potansiyel bir tehdit oluşturuyor. Özellikle kullanıcı verilerini işleyen uygulamaların, mevcut güvenlik protokollerini güçlendirmeleri gerektiği vurgulanıyor.
Bu olaylar, teknoloji dünyasında API güvenliğinin hayati bir konu olduğunu bir kez daha ortaya koyuyor. Uygulama geliştiricilerin ve kurumların, benzer sorunları önlemek adına daha proaktif bir yaklaşım benimsemesi gerektiği açıkça görülüyor.
GÜNDEM
20 Ocak 2025SPOR
20 Ocak 2025GÜNDEM
20 Ocak 2025SPOR
20 Ocak 2025SPOR
20 Ocak 2025GÜNDEM
20 Ocak 2025GÜNDEM
20 Ocak 2025Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.