Tek Paketlik Felaket: Capital One ve SSRF ile Kilidi Açılan Bulut
Ne Oldu?
2019 yılında Capital One, ABD’nin en büyük bankalarından biri olarak tarihin en büyük bulut tabanlı veri ihlallerinden birine uğradı. Yaklaşık 106 milyon müşterinin kişisel bilgileri izinsiz kişiler tarafından ele geçirildi. Sızdırılan veriler arasında müşteri ad-soyadları, doğum tarihleri, e-posta adresleri, telefon numaraları, kredi puanı bilgileri, banka hesap numaraları ve sosyal güvenlik numaraları yer aldı. İhlal, başta kredi kartı başvuruları olmak üzere hassas finansal verilerin dışa sızması nedeniyle büyük yankı uyandırdı.
Sızıntıya uğrayan verilerin büyük bir kısmı, Capital One’ın kredi kartı başvuru sistemi üzerinden toplanmıştı. Bu sistem AWS üzerinde barındırılıyordu ve hassas kullanıcı verilerinin güvenliği, Capital One’ın WAF (Web Application Firewall) konfigürasyonuna ve IAM yapılandırmasına bağlıydı.
Nasıl Gerçekleşti?
Saldırının arkasındaki kişi, daha önce Amazon Web Services’te (AWS) çalışmış bir yazılım mühendisi olan Paige Thompson’dı. Thompson, Capital One’ın AWS altyapısında konuşlu Web Application Firewall (WAF) bileşeninde bir SSRF (Server-Side Request Forgery) güvenlik açığını keşfetti. Bu açıklık sayesinde, saldırgan EC2 instance’ının meta-data servisine erişim sağladı ve bu sunucunun IAM rolüne ait geçici güvenlik kimlik bilgilerini (access key ve secret key) elde etti. IAM rolü, S3 veri kovalarına erişim yetkisine sahipti.
Bu kimlik bilgileriyle Thompson, Amazon S3 üzerinde Capital One’a ait bucket’ları listeleyebildi ve yetkisi dahilinde olanları indirebildi. Veriler yaklaşık 30 GB büyüklüğündeydi ve arasında hem yapılandırılmış (JSON, CSV) hem de yarı yapılandırılmış (log dosyaları) formatta kayıtlar bulunuyordu. Önemli bir detay da, bu verilerin büyük bölümünün şifrelenmemiş olmasıydı. Yani IAM yetkisi olan herkes, verileri olduğu gibi görüntüleyebilir durumdaydı.
Thompson, elde ettiği verilerin bir kısmını GitHub’a yükledi ve çeşitli IRC kanallarında övünerek bu bilgileri paylaştı. Neyse ki beyaz şapkalı bir güvenlik araştırmacısı bu dosyaları fark etti ve Capital One’a ihbarda bulundu. Capital One, kısa sürede bu olayı kamuoyuna açıklamak zorunda kaldı.
Sonuçları Nelerdi?
Capital One, olayın duyurulmasının ardından hem kamuoyunun hem de düzenleyici kurumların baskısı altında kaldı. Şirket 10 gün gibi kısa bir sürede kamuoyuna açıklama yapmış olsa da, güvenlik açığının uzun süredir orada olduğu ve daha önce fark edilmediği ortaya çıktı.
Bunun üzerine şu sonuçlar yaşandı:
- ABD Para Denetleme Ofisi (OCC), 80 milyon dolarlık para cezası verdi.
- Toplamda yaklaşık 106 milyon müşteri verisi ihlal edildi.
- Etkilenen kişilere ücretsiz kredi izleme hizmetleri sunuldu.
- Kurum içi siber güvenlik politikaları gözden geçirildi.
- Olay, AWS üzerinde çalışan diğer tüm büyük bankalar ve finans şirketleri için ciddi bir uyarı niteliği taşıdı.
- Thompson, “bilgisayara izinsiz erişim”, “dolandırıcılık” ve “veri hırsızlığı” suçlarından yargılandı ve mahkûm edildi.
Alınabilecek Önlemler Nelerdi?
Capital One vakası, çok sayıda ders içermektedir. Özellikle AWS üzerinde çalışan kuruluşlar için şu önlemler kritik öneme sahiptir:
- IMDSv2 Kullanımı: EC2 instance’lar üzerindeki meta-data servisi, SSRF saldırılarına karşı zayıf bir noktadır. AWS, bu olaydan sonra IMDSv2 adında daha güvenli bir erişim metodu tanıttı. Tüm EC2 örneklerinde bu yapı zorunlu hale getirilmeliydi.
- En Az Yetki İlkesi (Least Privilege): IAM rollerine yalnızca gerekli olan izinler verilmeli, özellikle veri okuma/yazma yetkileri kısıtlanmalıydı. WAF bileşeninin veritabanı erişimi gibi geniş yetkilere sahip olması büyük bir güvenlik riski oluşturdu.
- Penetrasyon Testleri ve Zafiyet Taramaları: Özellikle dışa açık bileşenler (WAF, API gateway vb.) düzenli olarak test edilmeli, üçüncü taraf sızma testleri ile kontrol edilmeliydi.
- Şifreleme: Veriler S3 üzerinde şifrelenmeliydi. AWS, verilerin hem dinlenme (at-rest) hem aktarım (in-transit) sırasında şifrelenmesini desteklemektedir.
- Loglama ve İzleme: AWS CloudTrail ve GuardDuty gibi araçlarla tüm IAM hareketleri ve veri erişimleri kayıt altına alınmalı, anormal durumlarda otomatik alarm sistemleri tetiklenmeliydi.
- Güvenlik Kültürü: Capital One, bu olaydan sonra siber güvenliği sadece teknik bir birim işi olarak değil, tüm organizasyonel yapının parçası olarak ele almaya başladı. Güvenlik kültürünün tüm çalışanlara yayılması gerektiği netleşti.