SheerID Servisi güvenlik uyarısı hk.

Sayın akademik ve idari personelimiz,

SheerID servisi, çeşitli meslek gruplarına yönelik indirim, tanıtım gibi promosyonları hedef gruba atanmasını sağlayan küresel bir servistir (bkz http://www.sheerid.com). En yaygın kullanım örnekleri arasında Spotify, Youtube Premium, Amazon gibi servislerin öğrenci indirimleri yer almaktadır. SheerID, Avrupa Akademik Ağı GEANT tarafından kurulup işletilen ve dünyadaki akademik birimler için merkezi bir kimlik doğrulaması sağlayan eduGAIN servisi ile süreci otomatikleştirmek için ortak çalışmalar yürütmektedir. Bunu yanında eduGAIN üyesi olmayan birimlerdeki kullanıcılar da ilgili belgelerinin sisteme yükleyerek manuel doğrulama süreci sonrasında promosyonlardan yararlanabilmektedir.

eduGAIN Güvenlik Ekibi tarafından TLP-Amber kodu ile (bkz. https://www.first.org/tlp/) bildirilen rapora göre;

“Geçtiğimiz yıl içerisinde saldırganlar tarafından SheerID servisi üzerinde bir sahte sayfa oluşturulmuştur. Promosyonlardan  faydalanmak isteyen son kullanıcılara yönelik hazırlanan bu sayfada, ülkemiz Üniversitelerinin de içinde olduğu bir listeden kurumlarını seçmeleri, ardından kullanıcı ve parolalarını girmeleri istenmiştir. Kullanıcıların kurum ağı dışında olan ev veya mobil ağlar üzerinden de bağlantı sağlayabildiği bu sayfa üzerinden 4 Eylül 2020 ile 15 Nisan 2021 tarihleri arasında kullanıcı bilgilerinin toplandığı tespit edilmiştir.”

Raporda yer alan bilgiye göre, kurumumuz da sahte sayfada kullanıcılar tarafından seçilerek bilgi girişi yapılan ekrana yönlendiği tespit edilmiştir. Ancak kullanıcı bilgilerinin girilip girilmediği, deneme yapılan IP adresi gibi bilgilere erişilememektedir.

Tespit edilen bu güvenlik olayı sebebiyle, tedbir olarak kullanıcı bilgilerinin ele geçirilmiş olma ihtimali de düşünülerek önlem alınmasında fayda görülmektedir. Bu kapsamda aşağıdaki eylemler önerilmektedir:

- İndirim ve benzeri amacıyla Üniversiteniz haricinde bir sayfaya Üniversiteniz kullanıcı bilgilerinin girilmemesi gerekmektedir.

- Kullanıcı bilgileri girildi ise Bilgi İşlem Daire Başkanlığına bilgi verilmeli ve hesabın ele geçirilmiş olma ihtimaline karşı parola değişikliği yapılması gerekmektedir.

- Her ihtimale karşı tüm kullanıcılarımızın parolalarını son iki yılda kullandıklarından farklı, güçlü bir parola ile değişimi önerilmektedir.

Menüyü Kapat