RubyGems.org AWS Kök Erişim Olayı – Eylül 2025

 (rubycentral.org)
1 puan yazan GN⁺ 2025-10-12 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Eylül 2025'te, RubyGems.org'un AWS kök hesabına yetkisiz erişim içeren bir olay yaşandı
  • Kamuya açıklanan soruşturma sonucunda, kullanıcı verileri veya operasyon ortamında bozulma ya da ifşa kanıtı bulunmadığı doğrulandı
  • Başlıca nedenler, görevden ayrılan bir kişinin yetkileri kaldırıldıktan sonra AWS kök hesap parolasının hemen değiştirilmemesi ve paylaşılan kimlik bilgilerinin yetersiz yönetimi oldu
  • Olayın ardından tüm kimlik bilgileri ve parolalar döndürüldü, güvenlik denetimleri sıkılaştırıldı, dış denetim ve yetki değişikliği süreçleri iyileştirildi
  • Kurumsal etik, veri gizliliği ve şeffaf iletişim tekrar tekrar vurgulanırken, topluluk güvenini yeniden kazanma çabası açıkça ifade edildi

Genel Bakış ve Arka Plan

Ruby Central, Eylül 2025'te RubyGems.org'un AWS kök erişim ihlali hakkında resmî bir olay sonrası analiz raporu yayımladı. Bu belge, olayın nasıl gerçekleştiğini, soruşturma bulgularını, hatalı yönetilen noktaları ve gelecekte güvenliği güçlendirmek için alınacak önlemleri şeffaf biçimde özetliyor.

Olay, eski yönetici André Arko'nun yetkileri kaldırıldıktan sonra bile RubyGems.org production ortamına ve izleme araçlarına erişebildiğinin kamuya açık bir blog yazısıyla ortaya çıkmasıyla başladı. Ruby Central hemen hizmet bütünlüğü ve kullanıcı verilerinin korunmasına odaklandı ve kamuoyu önünde özür diledi.

Olay Müdahalesi Zaman Çizelgesi

30 Eylül 2025 ana akışı

  • 17:23 UTC: André Arko, kök erişime sahip olduğunu e-postayla bildirdi
  • 17:30 UTC: Harici bir kişinin blog yazısıyla kök hesap erişimi ve ekran görüntüleri kamuya açıklandı
  • 17:51 UTC: Ruby Central bir olay inceleme ekibi kurdu ve tüm hizmetler ile kimlik bilgilerini gözden geçirmeye başladı
  • 18:20 UTC: Mevcut parolanın geçersiz kılındığı doğrulandı
  • 18:24 UTC: AWS kök hesap parolası sıfırlandı, MFA doğrulamasıyla hesap geri alındı
  • 18:30 UTC: “Credentials Report” sorgusuyla 19 Eylül'de yetkisiz bir kişinin kök parolayı değiştirdiği doğrulandı
  • 20:45 UTC: Tüm alt hesaplar ve legacy kimlik bilgileri iptal edildi, MFA yeniden verildi ve yeni kimlik bilgileri bağımsız bir kasada saklandı

Olayın Ayrıntılı Gelişimi

Ruby Central'ın tüm altyapısı AWS üzerinde çalışıyordu ve kök hesap kimlik bilgileri, yalnızca 3 kişinin erişebildiği paylaşılan bir kasada tutuluyordu (2 aktif, 1 eski çalışan).

18 Eylül 2025

  • 18:40 UTC: Arko, production erişimi ve on-call hizmet yetkisinin kaldırıldığına dair e-posta aldı
  • Arko'nun kullandığı AWS kimlik bilgileri silindi ancak kök hesap parolası döndürülmedi

19 Eylül 2025 saldırının başlangıcı

  • 04:34~04:39 UTC: San Francisco IP'sinden yetkisiz kök oturumu açma, parola değiştirme, yetkili grup/politikalardan ayrılma ve IAM genel inceleme faaliyetleri gerçekleştirildi

28 Eylül 2025

  • 05:49 UTC: Tokyo IP'sinden yetkisiz bir oturum oluştu, IAM introspection API ile kullanıcı meta verileri incelendi
  • (Kaigi on Rails konferansıyla zaman olarak çakışıyor, aynı kişi olduğu tahmin ediliyor)

30 Eylül 2025

  • 15:25~15:35 UTC: Los Angeles IP'sinden kök erişim sağlandı, kullanıcı kimlik bilgilerini elde etmeye yönelik komutlar çalıştırıldı (blogda paylaşılan ekran görüntüleriyle eşleşiyor)
  • 18:24 UTC: Ruby Central kök denetimi geri aldı

Olayın Etkisi ve Hasar Kapsamı

  • Ayrıntılı inceleme sonucunda kullanıcı verileri, hesaplar, gem'ler ve hizmet erişilebilirliğinde hasar kanıtı bulunmadı
  • RubyGems.org olay boyunca normal şekilde çalıştı
  • PII, finansal veriler gibi hassas bilgilere erişim veya bunların sızdırılması söz konusu olmadı
  • Production DB, S3 ve CI/CD üzerinde değişiklik tespit edilmedi
  • Ancak paylaşılan kimlik bilgilerinin döndürülmemesi ve sürekli erişim açıklığı, operasyon prosedürlerinde ciddi bir kusurdu

Olayın Çözüm Süreci

  • Tüm kök ve IAM kimlik bilgileri iptal edildi ve yeni MFA uygulandı
  • İlgili harici entegrasyonların (Datadog, GitHub Actions vb.) token'ları tamamen döndürüldü
  • AWS CloudTrail, GuardDuty, DataDog üzerinden kritik değişiklikler için gerçek zamanlı izleme güçlendirildi
  • IAM yetki yapısı yeniden gözden geçirildi ve gereksiz yetkiler kaldırıldı
  • Harici uzmanları da içeren kapsamlı bir güvenlik denetimi başlatıldı
  • Yeni güvenlik runbook'ları yazıldı (personel değişikliğinde anında parola döndürme, üç aylık kontroller ve olay anı iletişim süreci dahil)

Kök Neden Analizi

  • Paylaşılan parola yönetiminin dışarıya kopyalanmış olabileceği riski fark edilmedi
  • Ayrılan personel durumunda AWS kök parolası ve MFA'nın döndürülmemesi
  • Bu iki nedenle yetkisiz bir kişinin RubyGems production altyapısına erişebilmesi ve erişim yetkisi üzerinde çekişme girişiminde bulunabilmesi mümkün hale geldi

Tekrarı Önleme Önlemleri

  • Erişim kaldırma prosedürü ve kontrol listesi paylaşılan kasa yönetimini de kapsayacak şekilde genişletilecek
  • Entegre olmayan kimlik bilgileri (özellikle paylaşılan kimlik bilgileri), personel değişikliği olduğunda derhal döndürülecek
  • Bağımsız güvenlik denetimi dışarıdan bir kuruma yaptırılacak
  • Production yetkisinin kime ve hangi koşullarda verileceğini netleştiren açık bir operatör/katkı sağlayıcı sözleşmesi getirilecek

Neden Bir Güvenlik Olayı Olarak Ele Alındı

  • Kritik sistemlerde tek kişilik denetim sorununun sonucu olarak değerlendirildi
  • Mr. Arko, ikinci seviye on-call hizmetini yıllık 50 bin dolar ücretli danışmanlık olarak sunuyordu; bütçe yapısı değiştikten sonra ise on-call hizmetini ücretsiz vermek karşılığında production HTTP loglarına (PII dahil) erişim ve gelir elde etme fırsatı önerdi
  • Bu teklifin yönetişim, gizlilik ve çıkar çatışması gibi temel sorunlar içerdiği değerlendirildi ve Ruby Central bunu kabul edilemez bularak operatör yapısı ile yönetişimi yeniden düzenlemeye başladı
  • Arko'nun PII içeren sistemlere erişiminin sürdüğünün doğrulanması, olayın kesin olarak bir güvenlik olayı şeklinde sınıflandırılmasının temel dayanağı oldu
  • Şu ana kadar RubyGems verilerinin dışarı çıkarıldığı veya saklandığına dair bir kanıt bulunmadı ve topluluk güvenini yeniden tesis etme ile şeffaflığı artırma sözü verildi

Sonuç

  • Topluluğun desteği ve yapıcı denetimi için teşekkür edildi
  • Ruby Central, şeffaf operasyon, sorumluluk anlayışı ve güçlü güvenlik yapısıyla RubyGems.org'un istikrarını ve güvenilirliğini sürdürmeye devam edeceğini belirtti

Shan Cureton
Executive Director

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.