SAP ve Oracle'ın güvenlik açıkları binlerce şirketi tehlikeye soktu
Ülkemizin de aralarında bulunduğu birçok şirketin yönetim yazılımlarında imzası bulunan SAP ve Oracle'daki güvenlik açıkları sebebiyle, ABD'deki kamu ve özel kuruluşların verileri alarm verdi. İki şirketin müşterisi olan dünyanın dört bir yanındaki binlerce kurum da verilerle ilgili ciddi bir tehlikeyle karşı karşıya
ABD İç Güvenlik Bakanlığı'nın uyarısıyla ortaya çıkan durum, iki kamu kurumunun yanı sıra daha çok medya, finans ve enerji sektörlerini etkiliyor.
Onapsis ve Digital Shadows adlı güvenlik şirketlerinin yayımladığı rapor, Oracle ve SAP tarafından tavsiye edilen güvenlik yamalarını kurmayan ya da önlemleri almayan şirketler, açık dolayısıyla hacker'ların saldırısına uğrayabilir ve veri kaybedebilirler.
Radardaki şirketlerin kurumsal kaynak yönetim yazılımı (ERP) üzerinde finansal sonuçlar, sanayi sırları, kredi kartı bilgileri gibi son derece kritik veriler taşıdığı belirtilirken, SAP sözcüsü konuyla ilgili şöyle konuştuİ: "Tüm müşterilerimize tavsiyemiz, SAP güvenlik yamalarını en kısa zamanda kurmaları ve genelde her ayın ikinci Salı günü yayımladığımız yamaları takip etmeleri. Böylece SAP altyapısını saldırılardan koruyabilirler." Oracle ise konuyla ilgili herhangi bir açıklama yapmadı.
Düzenli olarak güvenlik güncellemeleri yayımlayan iki şirket de, en baştan bu açıkları kapatmadan yazılımını müşterilere sunduğu için eleştirilerin hedefi hâline geldi.
SAP'nin yaşadığı en büyük saldırılardan birisi 2013 ve 2014'te gerçekleşmiş ve bir güvenlik açığı sebebiyle, 2013 ve 2014'teki ABD'de devlet kurumlarına ve özel sektöre kişilerin geçmişini sorgulama hizmeti veren USIS'in verilerine izinsiz erişim sağlanmıştı.
Oracle'ın ise güvenlikle başı en son geçen ekimde bir yamayla kapattığı, ancak yamayı kurmayan WebLogic sunucularına bu yıl içinde erişim sağlanmasıyla derde girmişti. Saldırılar içinde Oracle PeopleSoft ERP sistemleri de yer almış, hacker'lar sistemlere gizli kripto para madenciliği yapan kod yerleştirmişlerdi.
