Üç yeni kategori, adlandırma ve kapsam değişiklikleri içeren dört kategori ve 2021 için İlk 10’da bazı konsolidasyonlar var.
A01:2021-Bozuk Erişim Kontrolü beşinci konumdan yukarı hareket ediyor; Uygulamaların %94’ü bir tür bozuk erişim denetimi için test edildi. Kırık Erişim Kontrolü ile eşlenen 34 CWE, uygulamalarda diğer tüm kategorilerden daha fazla olaya sahipti.
Federal Ticaret Komisyonu (FTC) Çarşamba günü 3’e 2 oyla, sağlık veri ihlalleriyle ilgili on yıllık bir kuralın hassas sağlık bilgilerini işleyen uygulamalar için geçerli olduğunu ve bu şirketleri uymaları konusunda uyardığını söyledi.
FTC tarafından kabul edilen yeni politika beyanı, kurumun sağlık kayıtlarını ele alan satıcıların, verilere bir ihlal veya bireyin izni olmadan başka yollarla erişilmesi durumunda tüketicileri bilgilendirmesini gerektiren 2009 Sağlık İhlali Bildirim Kuralını netleştirmeyi amaçlıyordu.
Yeni politika, kuralın, son on yılda geliştirilen fitness veya adet döngülerini izleyenler gibi sağlık uygulamaları için geçerli olduğunu belirtiyor.
Bu ay 86 güvenlik açığı için yama aldık. Bunlardan 3’ü kritik, 1 güvenlik açığı (MSHTML Güvenlik Açığı) daha önce açıklandı ve Microsoft’a göre yapılıyor.
Beklendiği gibi Microsoft, MSHTML’yi etkileyen ve bir saldırganın etkilenen bir sistemde uzak kod yürütmesine izin verebilecek sıfır gün ( CVE-2021-40444 ) düzeltme ekini yayımladı . Danışma belgesine göre, bir saldırgan, tarayıcı oluşturma motorunu barındıran bir Microsoft Office belgesi tarafından kullanılmak üzere kötü amaçlı bir ActiveX denetimi oluşturabilir. Saldırganın daha sonra kullanıcıyı kötü amaçlı belgeyi açmaya ikna etmesi gerekir. Bu güvenlik açığının CVSS’si 8.80’dir (10 üzerinden).
2021 Bakken Tıbbi Cihazlar Merkezi Staj Programının genişletilmesi, iki bilim ve mühendislik öğrencisi ekibine tıbbi cihaz siber güvenlik dünyasını keşfetme ve Tıbbi Cihaz Siber Güvenlik Merkezi endüstri üyeleriyle etkileşim kurma fırsatı verdi. Haziran 2021’de fotoğraflanan bu öğrenciler, hastanelerin hasta refahını sağlamak için tıbbi cihaz kullanıcılarının kimliğini doğrulamasına yardımcı olacak verimli bir sistem geliştirmeye odaklandı. Minnesota Üniversitesi, yeni Tıbbi Cihaz Siber Güvenlik Merkezini (CMDC) duyurmaktan gurur duyar. Merkez, tıbbi cihazların artan sayıda siber güvenlik tehdidine karşı hem güvenli hem de emniyetli olmasını sağlamak için üniversite-sanayi-hükümet işbirliklerini teşvik edecek.
Apple, iPhone’lara ve Mac’lere saldırmak için vahşi doğada istismar edildiği görülen iki sıfırıncı gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı. Bir tanesinin iPhone’lara Pegasus casus yazılımı yüklemek için kullanıldığı biliniyor.
Güvenlik açıkları, CVE-2021-30860 ve CVE-2021-30858 olarak izlenir ve her ikisi de kötü amaçlarla hazırlanmış belgelerin güvenlik açığı bulunan cihazlarda açıldığında komut yürütmesine izin verir.
Birinci bölümde, CGNAT konusunda açıklamalara yer verilmiştir. Bu açıklamalar, dünyanın her tarafında geçerli, hukuk sistemlerinden bağımsız, hukuken farklı şekilde yorumlanması mümkün olmayan ilgili RFC dokümanlarına ve akademik çalışmalara dayanan teknik gerçeklerdir.
İkinci bölümde, ülkemizde mahkemelerin talebi üzerine Bilgi ve İletişim Teknolojileri (BTK) tarafından sağlanan CGNAT Kayıtlarından bahsedilmiştir. İlgili RFC dokümanları ve iç mevzuattaki karşılıkları açıklanarak bir Hedef IP açısından gerçek abone tespitinde kullanılabilirliği açıklanmıştır.
Üçüncü bölümde, Litvanyada bulunan ve Milli İstihbarat Teşkilatı tarafından elde edilen ByLock Uygulaması Sunucu Veritabanı, ilgili resmi raporlar paralelinde incelenmiş ve veritabanının içerdiği kayıtlar itibariyle gerçek ByLock kullanıcılarının tespitinde kullanılabilirliği açıklanmıştır. Ayrıca bir kısım tutarsızlıklara değinilmiştir.
Dördüncü bölümde, ByLock Uygulaması veri tabanı kayıtları ile CGNAT kayıtları arasında gerçek kullanıcıların tespiti için kurulması gereken ilişki açıklanmıştır.
Bu rapor ByLock Uygulamasını kullanmanın suç olup olmadığını veya ByLock Uygulaması sunucu verilerinin hukuka uygun olarak elde edilip edilmediğini tartışmaz.
Bu rapor, ByLock Uygulaması kullanıcılarının gerçek kullanıcılarının nasıl tespit edilmesi gerektiğini teknik veriler ile açıklar.
Bu raporun herhangi bir sanık dosyasına sunulmasında sakınca yoktur, ancak yargılamanın bireyselliği gereği ve sanığın dava dosyasının bütünü açısından uygun olmaması durumunda yazarlar tarafından herhangi bir sorumluluk kabul edilmemektedir.