Sensitive Data Exposure Nedir 
Şifreleme Hatalarının Gerçek Bedeli
“Veri çalındığında değil, korunmadığında kaybedilir.”
— Ersan Karavelioğlu
Sensitive Data Exposure Nedir
Sensitive Data Exposure, hassas verilerin
yetersiz veya yanlış korunması sonucu yetkisiz kişilerce okunabilir hâle gelmesidir.
Sorun çoğu zaman sızıntı değil,
şifreleme ve taşıma hatasıdır.
Veri vardır ama kalkanı yoktur.
Hangi Veriler Hassastır
Kişisel bilgiler (PII)
Finansal veriler
Parolalar, token’lar
Kimlik ve gizlilik etkisi olan her şey.
OWASP’ta Yeri Nedir
OWASP Top 10’da
A02: Cryptographic Failures olarak yer alır.
Eskiden “Sensitive Data Exposure” adıyla biliniyordu.
İsim değişti, risk değişmedi.
Neden Bu Kadar Yıkıcıdır
Veri ele geçirildiğinde
geri alınamaz.
Parola değişir ama sızan veri kalır.
Güven kaybı kalıcıdır.
En Yaygın Şifreleme Hataları
Hiç şifrelememek
Zayıf algoritmalar
Yanlış anahtar yönetimi
“Şifreli sanıyorduk” sendromu.
Düz Metin (Plaintext) Saklama Felaketi
Parolaların düz metin tutulması
Tek bir sızıntı her hesabı açar.
En temel güvenlik ihlalidir.
Zayıf Hash ve Algoritmalar
MD5, SHA1 gibi kırılmış algoritmalar
Hızlı ama güvensiz
Hash hızlandıkça saldırgan kazanır.
Salt Kullanılmaması Neden Risklidir
Salt yoksa rainbow table vardır.
Aynı parola, aynı hash üretir.
Toplu kırma mümkün olur.
Güçlü Hash Yaklaşımı
bcrypt, Argon2, PBKDF2
Yavaş ve maliyetli olmalı
Güvenlik saldırgana pahalı gelmelidir.
Veri İletiminde Şifreleme Eksikliği
HTTPS yerine HTTP
Ortadaki adam (MITM) saldırıları
Veri yolda çalınır.
TLS Yanlış Yapılandırmaları
Zayıf cipher suite’ler
Eski TLS sürümleri
“HTTPS var” demek yetmez.
Anahtar Yönetimi Neden Kritiktir
Kod içinde hardcoded key
Açık repo’da gizli anahtar
Şifreleme anahtarı açıksa şifreleme yoktur.
Loglar ve Hassas Veri
Loglara parola, token yazılması
Log sunucusu da hedeftir
Görünmez sızıntı buradan olur.
Yedekler ve Snapshot’lar
Şifrelenmemiş backup’lar
Ana sistem güvenli, yedek açık
Sızıntı çoğu zaman buradan gelir.
Cloud Ortamlarında Risk
Public storage
Yanlış IAM politikaları
Bulutta hata ölçeklenir.
WAF Bu Riski Engeller mi
Hayır.
Şifreleme hatası uygulama içidir.
WAF sızıntıyı değil, saldırıyı filtreler.
Nasıl Önlenir
Güçlü kriptografi
Doğru anahtar yönetimi
TLS zorunluluğu
Baştan sona güvenli tasarım
En Büyük Yanılgı
“Bizde önemli veri yok.”
Her veri birleştirilebilir.
Küçük parçalar büyük kimlik oluşturur.
Son Söz Şifrelenmeyen Veri, Davetiyedir
Sensitive Data Exposure bir saldırı değil,
ihmaldir.
Veri korunmuyorsa, zaten paylaşılmıştır.
Güvenli sistem, veriyi saklamaz;
emanet bilir.
“Şifreleme, veriye kilit vurmak değil; ona değer vermektir.”
— Ersan Karavelioğlu
