‘Log4jShell e-ticaret için büyük bir güvenlik sınavı’

Seyyah

New member
9 Aralık’ta siber dünya olabilecek en büyük zafiyetlerden birini, tanınan Java yazılım lisanında çoğunlukla kullanılan ana kütüphane işlevlerinden Log4j’de keşfetti. Zafiyet yardımıyla sunucularda uzaktan komut çalıştırmak, öteki bir deyişle yalnızca yetkili kullanıcıların yapabileceği süreçleri ek bir yetki olmadan hackerlara yapma imkânı sağladı. Bu sebepten akının ismi Log4jShell olarak isimlendirildi. Shell sözü sistem yöneticilerinin komut çalıştırma için açtığı komut pencelerini temsil ettiği aktarıldı.

Sorun fazlaca derin ve kapatması sıkıntı

Mevzuyla ilgili değerlendirmelerde bulunan Mazars İstikrar Danışmanlık Hizmetleri Ortağı Ateş Sünbül, işlevin çoğunlukla kullanılan bir işlev olduğunu belirterek bilhassa e-ticaret üzere karmaşık yapılara sahip sitelerde zafiyetin tesirini arttırdığını söylemiş oldu. Şirketlerin bu açığı kapatmak için çalıştığını lakin zafiyeti fark etmeden çoktan ele geçirilmiş yahut müşteri ayrıntılarının çalınmış olabileceğini vurguladı.

niye e-ticaret’in büyük güvenlik imtihanı?

Sünbül, bu sorunu e-ticaret dalı için büyük bir güvenlik imtihanı olduğunu ve bunun iki ana ögesi olduğunu kaydederek, “E-ticaret siteleri salgın niçiniyle son iki yıldır en ağır biçimde kullanılan yapılar içinde yer alıyor. çoğunlukla kullanılmaları epeyce kullanıcıyı ortak bir noktada buluşturmaları ve fazlaca göz önünde olmalarına sebep oluyor” dedi.

Sünbül, bu durumun e-ticaret sitelerinin hackerlar için bir gaye haline getirdiğini belirtti. İki ögeye dikkat çeken Sünbül, e-ticaret site geliştiricilerinin fazlaca hızlı bir biçimde açıklığı kapatması için bir yarışa girdiklerini söylemiş oldu.

KVKK sorunları ve sızmalar gelebilir

“şahsi bilgileri müdafaa kanunu ile bilgilerimizin güvenliği için bir çerçeve çizilmişti. Bu çizilen çerçevenin bir kesimi olan siber güvenlik için bu açıklık önemli bir gedik noktasıdır”
diyen Sünbül, “Gedik noktasından şahsi Bilgilerin sızması mümkün olabilir. Açıklığı süratlice kapatamayan siteler riskli duruma düşer. Gelecekte KVKK yaptırımlarıyla karşı karşıya kalabilirler” sözlerini kullandı.

Kredi kartı ayrıntıları de sızabilir

Sünbül, e-ticarette çoğunlukla kullanılan ve ödeme aracı olan kredi kartı PCI DSS ve gibisi standartlar yardımıyla garanti altına alınabileceğini aktardı. Buna rağmen Log4j bu ayrıntıların çoğunlukla süratli alışveriş için saklandığı e-ticaret sitelerinde artık bir risk haline geldiğini belirten Sünbül, “Hackerların ana hedefi, finansal getiri. PCI DSS standard, bu tip durumlarla uğraş edilmesi için yol ve yöntemleri içerir. Lakin bu araçlar, epeyce hızlı biçimde işletilmelidir” diyerek kelamlarını noktaladı.
 
Üst