Çalışanların Kullandığı Uygulamalar Verilerinizi Riske Atıyor

3 Milyon kişi tarafından dosya dönüştürmek amacıyla kullanılan 23 mobil yazılım, belgeleri şifrelemiyor. Kurumsal ve kişisel verilerimizi farkında olmadan riske ediyor olabiliriz. 

Siber güvenlik şirketi Wandera yaptığı incelemelerde iOS platformunda hizmet veren ve 3 milyon kullanıcısı olan 23 dosya dönüştürme uygulamasının dönüştürdükleri belgeleri şifrelemeyi başaramadıkları için belgelerin içeriğini tehlikeye attıklarını tespit etti. 
Bu 23 uygulamanın tamamı Cometdocs isimli geliştirici tarafından üretilmiş. Ama Wandera sorunun tek bir geliştirici ile ilgili olmadığını çok daha geniş bir güvenlik sorununun söz konusu olduğunu söylüyor.

Cometdocs farklı formatlardaki dosyaları örneğin Word’den PDF’ye, PDF’den Powerpointe dönüştürebilen uygulamalar üretiyor. 

Güvenlikle ilgili endişe doğuran sorun şu ki dosya formatları arasındaki dönüşüm Cometdocs sunucuları üzerinde gerçekleşiyor ve hem orijinal belge, hem de dönüştürülmüş belgeler hiç bir şifreleme kullanılmadan paylaşılıyor. 

Kabaca özetlemek gerekirse, Cometdocs’un uygulamaları dönüştürmeden önce belgeleri şirketin sunucularına yükleyen, işlem tamamlanınca onları kullanıcıya geri gönderen bir yapıda tasarlanmış. 

Uygulamalar Gmail, iCloud, DropBox, Google Drive, OneDrive veya Box gibi dosya sunucu servislerine girişe imkan veriyor. Böylece kullanıcılar bu ortamlarda sakladıkları dosyaları dönüşüm servisi ile paylaşabiliyorlar. Alternatif olarak kendi cihazlarındaki dosyaları da dönüşüme gönderebiliyorlar. 

Sorun şu ki Cometdocs uygulamaları bütün bu dosya aktarım işlemlerini şifreleme kullanmadan, http servislerini kullanarak gerçekleştiriyorlar. Bu ise kötü niyetli kişilerin dosyaları önbelleğe alması ve elde etmesi için bir fırsat yaratıyor. Ayrıca kullanıcı ile aynı kablosuz ağdaki bir kötü niyetli kişi ağ trafiğini koklayarak Ortadaki Adam (man-in-the-middle) saldırısı gerçekleştirebilir ve bu bilgileri ele geçirebilir. Bunun sebebi de Cometdocs uygulamalarının dosyaları aktarırken ve yedeklerken, şifreleme kullanmıyor olması. 

Öte yandan, ücretsiz olan yazılımlar  yanıltıcı olabiliyor. Bazı kullanıcıların bildirdiğine göre ücretsiz dönüştürme dedikleri hizmeti vermek için  60-90 dakika arasında bekletebiliyor ve anında dönüşüm için ücret isteyebiliyorlar. 

Bu sorunun görüldüğü tüm iOS dosya dönüşüm programlarının bir listesini aşağıda bulabilirsiniz. Wandera bu tespiti yaptıktan sonra geliştirici firma ile son üç ayda üç defa iletişime geçmeye çalıştıysa da hiç bir cevap alamamış. 

Wandera’ya göre sorun sadece bu uygulamalarla ilgili değil. Gizli ve ticari belgelerin güvenlik seviyesi bilinmeyen, IT birimlerince onaylanmamış bu tür uygulamalar kullanılarak paylaşılması çok daha yaygın ve ciddi bir soruna işaret ediyor. 

Günümüzün kurumsal dünyasında, gölge bilişim yepyeni bir anlam kazanıyor. Eskiden bu tanımı, çalışanların işyerinde kullandıkları masa üstü bilgisayarlara kurdukları onaylanmamış yazılımları tanımlamakta kullanırdık. Bugün, çalışanlar kişisel ve kurumun yönetiminde olmayan cihazları kullanarak bir dünya dolusu uygulama ve servise hiç bir sınırlama olmadan erişebiliyor. Bunlar arasında çalışmak için güvenli olduklarını var saydıkları bulut saklama çözümleri ve PDF dönüştürme uygulama ve servisleri de var. Bu tür onaylanmamış servislere kontrolsüz erişim giderek artan bir biçimde bulut güvenliği çabalarını anlamsızlaştırıyor ve hassas bilgileri açığa çıkarıyor. IT birimlerinin böyle bir ortamda hassas kurumsal bilgilerin ve belgelerin nereyle ve nasıl paylaşıldığını bilme şansları yok.

Bunun içindir ki doğru düzgün bir mobil cihaz yönetimi çözümü kullanan şirketler ve kuruluşlar, çoktan Apple tarafından sunulan iOS Konfigürasyon Profillerini kullanarak kurumsal verileri kilitlemeye başladı bile. Ama pek çok kuruluşun bundan haberi bile yok. 

KVBLOG olarak Cometdocs isimli geliştiricinin Google Play üzerinde de benzer 29 uygulamasının olduğunu gördük. Kendi cihazını getir ve mobil cihazlar çağında kullanıcı, kuruluş, uygulamacı ve servis sağlayıcı ilişkilerinin giderek karmaşık hale gelmesinin sadece kuruluşların hassas verilerini değil aynı zamanda kuruluşların veri sorumlusu olarak yönettikleri kişisel verileri de risk altında bıraktığının altını çizmekte yarar var. Bu konuyla ilgili daha önce paylaştığımız şu iki yazıya tekrar göz atabilirsiniz. 

1. Whatsapp’ı İş Amaçlı Kullanmak Veri İhlali Oluşturur mu?
2. Mobil Cihazları Yönetmenin Zamanı Geldi

Şifrelemede başarısız olan dosya dönüşüm uygulamalarının listesi :

1. Audio Converter by Cometdocs – Convert Audio Files
2. Video Converter – Convert Video Files
3. Compress PDF – Make PDF Smaller
4. PDF Merge – Combine PDF Documents
5. JPG to PDF Converter
6. XPS to PDF Converter – Convert XPS files to PDF
7. Save as PDF – from Anywhere – Convert Text, Word, Excel, OpenOffice, LibreOffice and other files to PDF – All in one PDF Converter
8. Image to Text Converter – OCR
9. Image to Excel Converter – OCR
10. Image to Word Converter – OCR – Convert photos to Word documents
11. PDF Creator – PowerPoint edition
12. PDF Creator – Word edition
13. DOC to DOCX
14. DOCX to DOC
15. PDF to AutoCAD Converter – Convert PDF to DWG
16. PDF to Text Converter with OCR
17. PDF to PowerPoint Converter
18. PDF to Excel Converter – OCR
19. PDF to JPG Converter (JPEG)
20. Publisher to PDF Converter
21. PDF Converter Ultimate – All In One Converter
22. PDF to Word Converter with OCR
23. MP3 Converter – Convert Videos and Music to MP3

Hiç kullanılamayacak uygulamalar (vaat ettikleri dönüşümü hiç yapmayan uygulamalar):

1. XPS to Word Converter – Convert XPS files to Word
2. Publisher to Word
3. Resumable File Transfer by Cometdocs
4. Scanned PDF to Word

---