• Anasayfa
  • Nesne
  • App
  • Uber Veri İhlali: Uygulamanızın bunun gibi olaylardan nasıl korunabilirsiniz?

Uber Veri İhlali: Uygulamanızın bunun gibi olaylardan nasıl korunabilirsiniz?

Yayınlanan: 2017-11-28

2016'da Uber, 57 Milyon kullanıcı ve sürücü bilgilerini bilgisayar korsanlarına kaybetti ve daha sonra verileri silmek için 100.000 dolar ödediler.

Olay, birkaç gün önce CEO Dara Khosrowshahi'nin veri ihlaline ışık tutan bir gönderi yapmasıyla ortaya çıktı . Ve o zamandan beri, uygulama güvenliği konusu odak noktasına geldi.

Uber ilk veri ihlali vakası değil, kullanıcıların kişisel verilerinin ele geçirildiği birkaç durum var: insanları bilgilerini isteyen mobil uygulamaları kullanmaktan çekinen bir olay.

İşte, Uygulama Güvenliği Endişeleri ışığında mobil uygulama kullanıcılarının duruşunu gösteren bir görsel –

Uygulama Güvenliği Endişeleri

Ne kadar ürkütücü olduğunu görüyor musun?

Ancak uygulamanızın, markaları uygulama güvenlik oyunlarını doğru noktaya getirmeleri konusunda uyaran bir sonraki örnek olay haline gelmesini önleyebilirsiniz.

İşte nasıl -

1. Uygulamanızı Sıfırdan Koruyun

Uygulamanın kaynak kodunda bir dizi güvenlik açığı bulunmaktadır, ancak uygulama şirketlerinin çoğu, mobil uygulama güvenliği en iyi uygulamalarını uygulamaya odaklanırken yalnızca ağ kısmına odaklanır . Veri ihlallerinin temeli olabilecek pek çok yer var – kodlama hatası, kod testi vb.

Uygulamanızı var olduğu günden itibaren korumak için yapabileceğiniz şeyler:

  • Uygulamanızın kodunu şifreleme ile koruyun. Bunu yapmanın iki yolu vardır - küçültme ve şaşırtma, ancak bunlar yeterli değildir. API şifrelemesiyle birleştirilmiş, iyi desteklenen algoritmalara bağlı kalmanız önerilir.
  • Kodlarınızda sık sık kaynak kod taraması yapın

Güvenli kodun işareti, işletim sistemleri ve cihazlar arasında taşındıktan sonra bile güvenli kalmasıdır. Çevik bir kod oluşturmak, bu cephede son derece yardımcı olur.

2. Ağ bağlantısını Arka Uçtan koruyun

uzun

Uygulamanızın API'si tarafından erişilen bulut sunucularının, yetkisiz erişimi önlemek ve kullanıcıların verilerini korumak için uygun güvenlik önlemlerine sahip olması gerekir. API doğrulaması, istemciden uygulama veritabanına veya sunucuya sıfır hassas bilgi geçmeyecek şekilde yerinde olmalıdır.

Bu adımı başarılı kılmak için arka uç geliştirme sürecinizin sağlam olması zorunludur .

Ağ bağlantısını nasıl güvence altına alacağınız aşağıda açıklanmıştır

  • Belgeleri ve verileri depolamak için şifreli kapsayıcılar oluşturun
  • Verilerin korunduğundan emin olmak için bir dizi güvenlik açığı değerlendirmesi ve ağınızın sızma testi yapın.
  • Daha fazla güvenlik için veritabanını ve bağlantıları SSL, VPN ve TLS ile şifreleyin
  • Apply Federation – ana kaynakları kullanıcılardan ayırırken kaynakları sunucular arasında tek bir yerde olmayacak şekilde yayan ölçü.

3. Kimlik Doğrulama, Tanımlama ve Yetkilendirme Sürecinin Yerinde Olun

Uygulamanızı nasıl tanımlayacağınızı, doğrulayacağınızı ve yetki vereceğinizi buradan öğrenebilirsiniz.

  • Uygulamanızın kullandığı API'lerin yalnızca çalışması gereken API'ler olduğundan ve tüm uygulama işlevleri yerine yalnızca odaklanılan bölümlere erişim sağladığından emin olun.
  • Uygulamanız geliştirme aşamasındayken kullanabileceğiniz ve mutlaka takip edebileceğiniz bir dizi araç ve protokol vardır. İşte buradalar -
    • JSON Web Token - Hafif araç, veri alışverişini şifrelemek için kullanılır, sorunsuz uygulanması onu mobil uygulamalar için ideal kılar.
    • OpenID Connect – Kullanıcıların, her seferinde aynı bilgilerle kaydolurken ve kaydolurken zaman kazanmak için kimlik bilgilerini bir kimlik belirteci yardımıyla farklı etki alanlarında yeniden kullanmalarına olanak tanıyan bir protokoldür.
    • OAuth2 – Protokol, tek seferlik kullanıcıya özel belirteç aracılığıyla güvenli bağlantıyı yönetmek için kullanılır. Çerçeveyi yetkilendirme sunucusuna yükledikten sonra, 2 faktörlü SMS soruları gibi kimlik bilgilerini toplayarak kullanıcılarınıza son kullanıcılar ve istemci arasında izin vermenizi sağlar.

4. Kapsamlı bir dizi test yapın

Bir web uygulamasının aksine, mobil uygulama verilerinin çoğu yerel olarak kaydedilir ve veriler bant genişliği, performansı ve kalitesi değişen bir cihazda olduğundan, saldırıya uğrama riski çok daha fazladır.
 Cihazlardaki kararsızlık faktörünün yanı sıra, cinsiyet, yaş, cihaz kullanımı vb. gibi kullanıcılar bilmeden veri yayınlama eğiliminde olan bazı uygulamalar da vardır.

Uygulamada müşteri verilerinin güvende olmasını sağlamanın yolları –

  • Dosya düzeyinde şifreleme yardımı ile verileri dosya bazında koruyabilirsiniz. Duran verileri, ele geçirildiğinde okunmaması için şifrelemenin yollarından biridir.
  • Appcelator platformu gibi araçlar, yerel olarak depolanan mobil verilerin güvenli olmasını sağlar.

Anahtar yönetimi önceliğiniz olmalıdır. Güçlü bir algoritmanın temeli, eşit derecede güçlü sertifikası ve anahtarlarıdır.

5. Planlanan API Güvenlik Stratejisi

Mobil geliştirme API'lerle sıkı sıkıya bağlı olduğundan, bir uygulamayı güvenli hale getirmenin büyük bir kısmı, API'sini güvenli hale getirmeye bağlıdır. API'ler, uygulamalar, bulut ve bir dizi kullanıcı arasında veri iletir. Verileri görmek ve kullanmak için ilgili tüm tarafların tanımlanması ve yetkilendirilmesi gerekir. API'ler, işlevsellik, içerik ve verilerin temel taşıdır, bu nedenle güvenliğinin sağlanması uzun bir yol kat etmenizi sağlayabilir.

API

API'de ilgilenmeniz gereken üç aşama vardır: Tanımlama, Kimlik Doğrulama ve Yetkilendirme.

Aşağıdaki üçünün de öğelerine bakalım –

Kimlik

Sürecin ilk kısmı olan kimlik hack'leri API anahtarlarının uygulanmasıyla önlenebilir. Bu anahtarlar, parola ihtiyacını ortadan kaldıran rastgele, benzersiz tanımlayıcılardır.
API anahtarlarını kullanarak veriler görüldüğünde koruma sağlayabilirsiniz, ancak görmesi gereken biri tarafından görülüp görülmediğine karar veremezsiniz.

kimlik doğrulama

Bilginin, onu görmesi amaçlanan biri tarafından görülmesini garanti eden süreçtir. Bu aşamada, sistemin ekstra bir güvenlik düzeyi elde etmesini sağlamak için kullanıcı adları ve şifreler belirlersiniz.

yetki

Bu adım şu soruya yanıt verir: API ile neler yapılabilir. Bu işlemi güvence altına alma adımları, 2 faktörlü yetkilendirme, belirteçler ve tek kullanımlık şifreleri içerir.

6. Uygulamayı Test Edin

Uygulamanızın hibrit, yerel veya web uygulaması olmasına bakılmaksızın, yalnızca kullanılabilirlik ve işlevsellik açısından değil, aynı zamanda Güvenlik açısından da test edilmelidir. Uygulamanızın güvenli olduğundan emin olmak için kalite güvencesine sahip olduğundan emin olmak için izlemeniz gereken birkaç adım vardır .

 Uygulamanızın güvenlik açısından test edilmesini sağlamanın yolları şunlardır:

  • Sızma Testi – Zayıflıkları bulmak için ağı ve sistemi araştırmak anlamına gelir.
  • Uygulamanın benzetilmiş bir ortamda nasıl performans gösterdiğini test etmek için öykünücüleri kullanın.
  • Yetkilendirme ve kimlik doğrulama, oturum yönetimi ve veri güvenliği sorunlarını ayrıntılı olarak test edin.

Yani bunlar, uygulama geliştirme sürecinizde ilgi odağı olanın sizinki olmadığından emin olmak için kullanabileceğiniz 6 yoldu.

Vaktiniz varken, zamana iyi bir şekilde dahil ettiğinizden emin olun.