Kalici OAuth Tokenlari: Gormeze Aldigimiz En Tehlikeli Arka Kapı
Son yıllarda kalici OAuth tokenlari siber saldırganların favori arka kapısı haline geldi. Herkes MFA’ya, parola karmaşıklaştırmaya odaklanırken bu tokenlar sessiz sedasız sistemlerin anahtarını cebinde taşıdı. İşin tuhafı; bu risk, sistemin tasarımından kaynaklanıyor ve çoğu kurum bu açığı görmezden geliyor.
Kalıcı OAuth Tokenları Neden Tehlikeli?
Birçok şirket için kalici OAuth tokenlari adeta gizli geçiş kartı gibi çalışıyor. Özellikle Google ve Microsoft ortamlarında, çalışanlar her gün yeni bir uygulamaya “izin ver” dediğinde bu uygulama için sınırı belirsiz, süresi olmayan bir erişim anahtarı üretiliyor. Token bir kere verilince, şifre değişse bile geçerliliğini yitirmiyor. Çalışan işten ayrılsa bile o izin arka planda yaşamaya devam ediyor.
Saldırganlar Nasıl Yararlanıyor?
Burada asıl mesele, saldırganın sistemi “hacklemesi” değil; yetkili bir işmiş gibi içeri girmesi. Geçmişte Drift vakasında olduğu gibi, bir phishing saldırısı sonrası ele geçirilen bir refresh token, 700’den fazla şirkete ait Salesforce sistemlerine girişi mümkün kıldı. Perimetre güvenliği, MFA, parola politikaları – hepsi devre dışı. Çünkü saldırgan, meşru bir uygulamanın kimliğine bürünüyor. Kapıdan değil, açık bırakılan pencereden içeri dalıyor.
Kurumlar Neden Hala Savunmasız?
Yeni araştırmalar gösteriyor ki, şirketlerin %45’i kalici OAuth tokenlari için herhangi bir izleme veya kontrol mekanizması kurmamış. Yani, güvenlik ekipleri ellerinde ne kadar açık olduğunu dahi bilmiyor. Diğer bir grup ise token yönetimini Excel dosyaları ile yapmaya çalışıyor. Koca şirketlerin milyon dolarlık altyapısını basit bir tabloya emanet etmek, alarmı fişe takmadan hırsızdan korunmayı ummak gibi.
OAuth’daki Tasarım Sorunu Nereden Geliyor?
OAuth protokolü ilk geliştirildiğinde, birkaç onaylı uygulamaya takvim erişimi vermek için tasarlanmıştı. Bugün ise her çalışan kendi başına onlarca aracı sisteme dahil ediyor. Modern iş dünyasında kimse IT onayını beklemiyor. Bu da, her yeni uygulama entegrasyonunda bir token daha üretilmesine, ve bu tokenların çuvala atılıp unutulmasına yol açıyor. Güvenlik uzmanları, “Bu açık bir yanlış yapılandırma değil, sistemin doğasında var” diyor.
Daha Önce Benzeri Saldırılar Oldu mu?
Drift vakası bu tür saldırıların en somut örneği. Fakat benzer şekilde, 2021’de bazı mail hizmetlerinde yine kalici OAuth tokenlari kullanılarak büyük veri sızıntıları yaşandı. Yani konu teorik değil. Saldırganlar klasik yöntemlerle uğraşmayı bırakıp, daha kestirme ve sessiz olan bu yolu tercih ediyorlar. Banka kasasının anahtarı, temizlikçinin cebinde unutulmuş gibi.
Uzman Yorumu: Neden Öncelik Olmalı?
Siber güvenlik uzmanlarına göre, OAuth erişimlerinin merkezi olarak izlenmemesi ciddi bir kurumsal kör nokta oluşturuyor. Gartner ve Material Security gibi araştırma kuruluşları, önümüzdeki 3 yıl içinde kurumların %60’ının bu sebeple en az bir ciddi olay yaşayacağını öngörüyor. Yani, bu sorun “vakit bulursak çözeriz” tarzı bir risk değil; kurumsal felaketlerin temel sebebi olmaya aday.
Kalıcı OAuth Tokenlarının Kurumsal Hayatta Sessiz Tehdidi
Birçok yönetici ve IT sorumlusu, kalici OAuth tokenlari ile ilgili risklerin boyutunun farkında değil. Çünkü bu tokenlar genellikle arka planda, kullanıcının haberi bile olmadan sistemde saklanıyor. Özellikle SaaS tabanlı uygulamalar (ör. Slack, Google Workspace, Microsoft 365) ile yapılan entegrasyonlarda, çalışan bir defa izin verince ilgili uygulama sonsuz erişim hakkına sahip oluyor. Bu durum hem veri sızıntılarını hem de içeriden gelecek tehditleri artırıyor.
Örneğin şirketinizde ayrılan bir çalışanın Google hesabı kapatılsa dahi, daha önce tanımlanan bir 3. parti uygulama, kalici OAuth tokenlari ile şirket e-postalarına veya dosyalarına erişmeye devam edebilir. IT ekipleri, genelde kullanıcı hesaplarını devre dışı bırakmakla işleri hallettiklerini düşünür, fakat arka planda bu tür tokenların yaşamaya devam ettiğini gözden kaçırırlar. Bu da ileri seviye bir siber saldırgan için altın değerindedir.
Kalıcı OAuth Tokenlarını Yöneten ve İzleyen Araçlar
Kalici OAuth tokenlari yönetimi için Türkiye’de ve dünyada farklı çözümler mevcut. Microsoft’un Cloud App Security veya Google’ın Admin konsolu gibi araçlarla tokenları görebilir ve yönetebilirsiniz. Ayrıca piyasada Okta, Auth0, CyberArk gibi daha gelişmiş IAM (Identity & Access Management) ve PAM (Privileged Access Management) platformları da kullanılabiliyor. Bu platformlar, tüm OAuth yetkilendirmelerini merkezden izleme ve gerekirse topluca iptal etme imkanı verir.
Bir diğer önemli konu, SIEM (Security Information and Event Management) sistemlerinde özel OAuth aktivitelerini izleme kuralları tanımlamak. Böylece şüpheli bir token kullanımı veya beklenmedik bir API çağrısı olduğunda anında alarm üretilebilir. Türkiye’de siber güvenlik ekipleri genellikle SIEM sistemlerinde geleneksel alarm kurallarına öncelik verse de, OAuth aktiviteleri için özel dashboard ve uyarı politikalarının mutlaka devrede olması önerilir.
Güvenlik Testlerinde Kalıcı OAuth Tokenlarını Avlamak
Bir kurumun siber güvenlik denetimi (pentest veya red team) sırasında, kalici OAuth tokenlari en kolay göz ardı edilen zafiyetlerdendir. Standart sızma testlerinde genellikle ağda açık portlar, zayıf şifreler veya exploitable servisler aranır. Ancak modern saldırgan profili, doğrudan kullanıcıyı hedefleyen phishing ile OAuth token’larını ele geçirmeye çalışıyor.
Pratik öneri: Penetrasyon testlerinde “Third Party Application Audit” gibi özel bölümler açın. Kullanıcıya “Bu hesabınıza hangi uygulamalar bağlı?” diye sorun ve uygulama bazında verilen izinleri raporlayın. Özellikle kullanımı azalmış veya eski uygulamalara verilen kalici OAuth tokenlari tespit edilip, gereksiz olanlar iptal edilmeli. Ayrıca, phishing simülasyonları ile çalışanların OAuth izinlerine karşı dikkat düzeyi ölçülebilir.
Türkiye’de Regülasyon ve Yasal Perspektif
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kurumların veri güvenliği önlemlerini alma zorunluluğu getiriyor. Kalici OAuth tokenlari yoluyla gerçekleşen bir veri sızıntısı, KVKK kapsamında ciddi idari cezalara ve itibar kaybına yol açabilir. Kişisel verilerin yurtdışına transferi konusunda da dikkatli olmak gerekiyor; token ile yetkilendirilmiş bir uygulama, verilerin yurtdışında saklanmasına ve erişilmesine neden olabilir.
Pratik öneri: Şirketinizin KVKK uyum denetimlerinde, OAuth izinlerinin de kapsam dahilinde olduğundan emin olun. Yasal sorumlulukların ötesinde, müşteri ve çalışan verilerinin korunması için kalici OAuth tokenlari mutlaka denetime tabi tutulmalı.
Kalıcı OAuth Tokenları için Güvenlik Politikası Nasıl Oluşturulur?
Birçok kurumda, güvenlik politikaları parolalar için sıkı ama OAuth izinleri için neredeyse yok. Oysa kalici OAuth tokenlari yönetimi için özgün politika ve prosedürler tanımlanmalı:
- Tüm uygulama izinlerinin, kullanıcı bazında merkezi olarak izlendiği bir envanter oluşturun.
- Tokenların ömrünü sınırlandıran teknik politikalar uygulayın. (ör. “X günden uzun süre kullanılmayan token otomatik iptal edilir”)
- Kritik sistemler için white-list uygulaması getirin: Sadece önceden onaylanmış uygulamalar OAuth ile bağlanabilsin.
- Çalışan ayrılışında “token inventory cleanup” adımını insan kaynakları ile entegre edin.
- Kullanıcıları, “her uygulamaya izin verme” konusunda eğitin ve uyarıcı pop-up’lar kullanın.
Türkiye’de özellikle KOBİ’ler, bu tür politikaları Excel veya e-posta trafiğiyle değil, merkezi güvenlik platformlarıyla yönetmeli. Düzenli denetim ve raporlama, olası bir olayda hızlı müdahaleyi kolaylaştırır.
Sık Yapılan Hatalar ve Pratik İpuçları
- IT ekipleri, sadece kullanıcı hesabını kapatmanın yeterli olduğunu zannediyor. Oysa kalici OAuth tokenlari hâlâ sistemde aktif kalabilir.
- Token’lar kullanıcıdan gizli şekilde oluşturulup yönetiliyor. Çoğu çalışan hangi uygulamaya ne izin verdiğini bilmiyor.
- İzin verilen uygulamaların sayısı yıldan yıla katlanarak artıyor; eski, artık kullanılmayan uygulamaların tokenları sistemde unutuluyor.
Pratik çözüm: Çeyrek dönemde bir defa, şirket çalışanlarına “bağlı uygulamaları” gözden geçirme ve gereksiz olanları kaldırma çağrısı yapın. Google güvenlik paneli veya Microsoft’un My Apps portalı üzerinden kullanıcılar kendi OAuth izinlerini yönetebilir. Ayrıca, Başarsoft gibi yerli siber güvenlik firmalarının geliştirdiği yönetim panelleri de alternatif olarak düşünülebilir.
Kalıcı OAuth Tokenlarının Geleceği: Zero Trust ve Otomasyon
Dünya genelinde “Zero Trust” yaklaşımı, kalici OAuth tokenlari tehdidiyle başa çıkmak için öne çıkıyor. Zero Trust mimarisinde, hiçbir kullanıcı veya uygulamaya sürekli ve sınırsız erişim tanınmaz. Her erişim isteği dinamik olarak kontrol edilir. Gelecekte, makine öğrenmesi tabanlı otomasyon araçları, token aktivitelerini sürekli izleyerek olağan dışı davranışlarda anında müdahale imkanı sağlayacak.
Birçok büyük Türk şirketi, bu tür otomasyon projelerine yatırım yapıyor. Ancak KOBİ’lerde hala manuel yönetim ve insan hatası büyük risk oluşturuyor. Burada önerim; küçük-orta ölçekli kurumların ücretsiz veya uygun maliyetli otomasyon araçlarını değerlendirmesi, en azından temel bir token envanteri oluşturması yönünde. Örneğin, GitHub ve Bitbucket gibi platformlarda bile kullanıcı API tokenları ve OAuth izinleri için otomatik uyarı sistemleri entegre edilebilir.
Unutulan Anahtarlar Daha Ne Kadar Açıkta Kalacak?
“Benim şirketimde böyle bir açık olmaz” demek, koca apartmanın anahtarını posta kutusunda bırakmak gibi. Güvenliğinizi sağlama almak için, OAuth erişimlerinize bugünden hakim olmanız şart. Küçük bir ihmalin, büyük bir veri kaybına dönüşmemesi için bu arka kapıyı kapatmanın tam zamanı.
Ek Kaynaklar ve Okuma Önerileri
- KVKK Resmi Sitesi
- Microsoft: Token ve Claims Yönetimi
- Google: OAuth 2.0 Belgeleri
- CyberArk: The Keys to the Cloud Kingdom
Sıkça Sorulan Sorular
