Günümüzde pek çok bankacılık işlemi dahil olmak üzere online olarak yapılan kritik işlemlerin güvenliği SSL şifreleme metoduyla sağlanıyor. Bu yüzden de en yaygın kullanılan SSL paketlerinden biri olan OpenSSL‘de ortaya çıkan güvenlik açığı, Heartbleed, “neyse ne canım” diyerek sizi ıskalayacağını düşünebileceğiniz tehditlerden biri değil.
İnternet sunucularının yaklaşık olarak üçte ikisi tarafından kullanılan OpenSSL’in heartbeat işlevindeki birkaç baytlık kod içerisinde yer alan güvenlik açığı, bu hafta Yahoo‘dan Tumblr‘a ve Dropbox’a kadar birçok web servisini vurdu. İsim babası Google ve güvenlik şirketi Codenomicon olarak Heartbleed, hacker’ların web sitelerini barındıran sunuculardaki korumayı aşıp, hassas bilgilere erişebilmesini kolaylaştırıyor.
Ne Yapmanız Gerekiyor?
Öncelikle açığı kapatmak için her platformun kendi OpenSSL kütüphanesini güncellemesi gerekiyor. Kullanıcı tarafında ise kişisel giriş bilgilerinin (kullanıcı adı, ID, şifre vb.) ele geçirilme ihtimaline karşın, parolaların güncellenmesi faydalı görünüyor. Mashable tarafından düzenli olarak güncellenen listede, sosyal ağlardan bulut servislerine kadar birçok online oluşumun Heartbleed karşısındaki güncel durumu yer alıyor.
Listeye göre Heartbleed açığından etkilenen ve kullanıcılara parolalarını değiştirmelerini öneren servisler şu şekilde sıralanıyor: Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Amazon Web Servisleri, GoDaddy, Dropbox, Minecraft ve SoundCloud.
Neyse ki bahsi geçen servislerin tamamı bir yama hazırlayıp açığı kapatmış durumda. Yani parolanızı güncelledikten sonra ekstra bir endişeye lüzum yok. Öte yandan WordPress ve Netflix gibi devasa ölçekli hizmetlerin etkilenip etkilenmediği henüz bilinmiyor.
Apple Heartbleed’den Etkilenmedi
Başta Apple servisleri olmak üzere, LinkedIn, Twitter, Amazon, Microsoft, AOL, Hotmail, eBay, PayPal ve Evernote ise listede yaygın kullanılan ve Heartbleed’den etkilenmemiş oluşumlar olarak dikkat çekiyor. Türkiye’de de bankaların birçoğu benzer şifreleme hizmetleri kullanıyor.
OpenSSL Heartbleed’in hemen ardından gerekli yamayı yayınladı, ancak bunun her kurum tarafından uygulanması birkaç gün sürebilir. Bu süre zarfında özellikle parolanızı güncellemeden kritik işlemler yapmaktan uzak durmanızda fayda var.
:: Parolalarınızı Heartbleed sonrası güncellediniz mi?
{{user}} {{datetime}}
{{text}}