EA’nın Bilgilerini Ortaya Çıkaracak Güvenlik Açığı Kapatıldı
Siber güvenlik araştırmacıları, kısa müddet evvel görüntü oyunu devi Electronic Arts (EA) şirketine ilişkin Slack kanallarının bir listesini …
Siber güvenlik araştırmacıları, kısa müddet evvel görüntü oyunu devi Electronic Arts (EA) şirketine ilişkin Slack kanallarının bir listesini kopyalamalarına müsaade veren bir açık keşfetti. Sorun çok kısa vakitte giderildi lakin o denli görünüyor ki bulunan bu açık, araştırmacılar tarafından değil de bilgisayar korsanları tarafından keşfedilmiş olsaydı, kanal isimlerini ve kapalı şirket projeleriyle ilgili öteki bilgileri ortaya çıkarmak çok da sıkıntı olmazdı.
Mevzuya açıklık getiren isim, sorunu bulduktan sonra EA'ya bildiren Dubai merkezli siber güvenlik firması spiderSilk'in araştırmacısı Mossab Hussein oldu. Hussein’e nazaran açığın sebebi mühendislerin yaptığı bir kodlama kusuruydu ve bu kusurdan etkilenen toplam 29 bin adet kanal bulunuyordu.
Hussein ayrıyeten “Slack için giriş şifreleri EA'nın PagerDuty konuşlandırması içinde yapılandırılmış durumda, yani bir saldırgan bunu keşfetseydi, tüm dünyadaki eski ve yeni EA çalışanlarına ilişkin tüm kullanıcıların listesini alabilirdi” dedi. Ele geçirilebilecek öbür şeyler ortasında EA'nın Slack çalışma alanındaki tüm kanalların tam bir listesi ve üzerinde çalışılan proje başlıkları, dokümanlar, URL içeren kanal açıklamaları olduğunu da eklersek sanıyoruz bunun bir şirket için ne kadar makûs bir durum olabileceğini anlatmaya yardımcı olur.
Araştırmacı Hussein, spiderSilk'in mevzuyu 19 Kasım 2019'da 1000 kanallık bir örnek listeyle birlikte EA'ya bildirdiğini ve EA'nın 21 Aralık'ta tüm problemleri çözdüğünü söyleyerek karşılık verdiğini de kelamlarına ekledi.
Electronic Arts'ın açıklaması gecikmedi
EA şirketinin İrtibat Lider Yardımcısı John Reseburg ise, “Raporun akabinde sorunun süratli bir halde çözüldüğünü doğrulayabilirim. Araştırma şirketinin bu mevzudaki bulgularını takdir ediyoruz. Bu türlü şirketlerden gelen datalar, oyuncularımız, oyunlarımız ve şirketimiz için güvenlik tedbirlerini daima olarak test etmenin ve güzelleştirmenin kıymetli bir parçası” kelamlarıyla olayı doğrular bi açıklamada bulundu.
Görüntü oyunu şirketleri, hazırladıkları pazarlama stratejilerinden evvel sızan oyunlarının detayları hakkında çok kaygı duyuyor ve çoklukla bunları kendi içlerinde tartışmak için çeşitli takma isimler kullanıyor. Bilgisayar korsanları Slack kanallarının bir listesine sahip olsa bile, oyun isimlerini anlamamaları mümkün olabilirdi lakin yeniden de önlemi elden bırakmamakta yarar var.