Hindistan Merkez Bankası'nın .bank.in Kayıt Sisteminde 13 Ay Süren Kritik Güvenlik Açığı

Hindistan Merkez Bankası (RBI), Şubat 2025'te vatandaşların resmi banka web sitelerini anında doğrulayabilmesi için dijital bir güven işareti olarak '.bank.in' alan adı uzantısını oluşturdu. Ancak bağımsız bir güvenlik araştırmacısı olan Srikanth L tarafından yapılan bir inceleme, bu sistemin beklentilerin aksine ciddi güvenlik açıkları barındırdığını ortaya çıkardı. Hindistan Bankacılık Teknolojileri Geliştirme ve Araştırma Enstitüsü (IDRBT) tarafından işletilen alan adı kayıt portalında en az 13 ay boyunca hassas veriler sızdırıldı. Sistemin arka planında 33'den fazla kimlik doğrulama gerektirmeyen uç nokta (endpoint) tespit edildi ve bu durum yetenekli bir hacker tarafından kolayca sömürülebilirdi. Bu durum, bankacılık sektöründe dijital güvenlik standartlarının ne kadar hayati olduğunu bir kez daha gözler önüne serdi.
Araştırmacı Srikanth L'nin hazırladığı rapora göre, IDRBT'nin Hyderabad'deki altyapısı üzerinden hizmet veren portalı, hiçbir şifre veya yetkilendirme olmadan dışarıdan müdahalelere açıktı. Basit komut satırı araçlarını kullean herhangi bir kişi, sistemden doğrudan veri çekebiliyor ve banka çalışanlarına ait kritik bilgilere erişebiliyordu. Sızdırılan veriler arasında Hindistan'ın bankacılık alan adlarını yönetmekle görevli 5.576 banka çalışanının şifre hash'leri (bcrypt formatında), cep telefonu numaraları, e-posta adresleri, giriş IP'leri ve cihaz parmak izleri bulunuyordu. Çalışanların gizliliğini ve sistemin bütünlüğünü tehlikeye atan bu açık, uzun süre fark edilmeden sistemde kaldı. Srikanth, verilerin son derece hassas olması nedeniyle elde ettiği bilgileri kamuya açık olarak paylaşmadı.
Söz konusu güvenlik açığı sadece veri sızıntısıyla sınırlı kalmıyor, aynı zamanda bankaların yönetim paneli erişimlerini de özel şirketlerin kontrolüne bırakıyordu. Hyderabad merkezli özel bir tedarikçi olan IKCON Technologies'in portalda 22 çalışan hesabı bulunuyordu ve bu hesapların üçünde küresel 'Süper Yönetici' (Super Admin) yetkisi vardı. Daha da endişe verici olanı, sistemde resmi veya izlenebilir bir sahibi olmayan 1.072 'yetim' (orphan) Süper Yönetici hesabının tespit edilmesiydi. En üst düzey erişim yetkisine sahip bu hesapların kimler tarafından kontrol edildiğinin bilinmemesi, sistemin ne kadar büyük bir yönetimsel kaos içinde olduğunu gösterdi. Bu durum, yetkisiz kişilerin tüm bankacılık altyapısı üzerinde tam kontrol sahibi olma riskini de beraberinde getiriyordu.
Bu krizin arkasında yatan idari ve bürokratik ihmaller de raporda dikkat çekici bir şekilde vurgulandı. Küresel çaptaki '.bank' alan adlarının aksine, RBI tarafından zorunlu kılınan '.bank.in' alan adı için hiçbir kamu danışması, etki değerlendirmesi veya paydaş görüşmesi yapılmadı. Ayrıca, IKCON Technologies firmasına ihale verilirken herhangi bir açık ihale süreci (RFP) veya tedarikçi değerlendirmesi gerçekleştirilmediği bildirildi. Rapor, bu durumun IDRBT'nin kendi 2015 BT tedarik el kitabını doğrudan ihlal ettiğini ortaya koyduğunu belirtti. Kurumun, güvenlik açığı keşfedilmeden sadece iki ay önce BT altyapısının güvenlik testleri (VAPT) için gizli ve kapalı bir ihale açması da kendi açık ihale politikalarıyla çelişiyordu.
Güvenlik araştırmacısı bu kritik güvenlik açığını, Hindistan'ın siber güvenlik kurumu olan CERT-In'e bildirdiğinde hızlı bir tepki aldı. Son dönemdeki diğer kurumsal ihmallerin aksine, CERT-In konuyu araştırmacıya bildirmesinden sadece 17 gün sonra çözüme kavuşturduğunu duyurdu. Srikanth, sistemin yayına alınmadan önce hiçbir bağımsız güvenlik denetçisi tarafından test edilmemesini ve güvenliğin opsiyonel olarak bırakılmasını eleştirdi. RBI'nin bu sistemi benimsenmesini zorunlu kılmasına rağmen, güvenlik protokollerini ihmal etmesi sektörde ciddi soru işaretleri yarattı. Olay, dijital bankacılık ekosistemlerinde zorunlu altyapıların oluşturulması sürecinde şeffaflık, denetim ve siber güvenlik önlemlerinin birinci öncelik olması gerektiğini kanıtlamış oldu.
Bu haber hakkında sor
Yanıtlar yapay zekâ tarafından, yalnızca bu haberin içeriğinden üretilir.
Bu, yapay zekâ tarafından üretilen bir özettir. Haberin tamamı kaynağındadır.
Haberin tamamını kaynağında okumedianama.com