Modern Mobil Uygulama Kullanıcıları İçin Veri Güvenliği Ne Kadar Önemli?

Yayınlanan: 2022-11-23
Modern Mobil Uygulama Kullanıcıları İçin Veri Güvenliği Ne Kadar Önemli?

Kendi mobil uygulamalarını geliştiren giderek daha fazla şirket, mobil uygulama güvenliğini sağlamak için ekstra adımlar atıyor - ve bunun iyi bir nedeni var.

Kimlik Hırsızlığı Kaynak Merkezi'nin (ITRC) 2021 yıllık raporuna göre, 2021 yılı, 1.862 örnekle veri gizliliğinin ihlal edilmesinde rekor düzeyde yüksek bir yıldı. Bu makaleyi yazdığımız sırada, 2022'nin dörtte üçünde, merkez şimdiye kadar 1.291 veri ihlali bildirdi. Bu, yalnızca ABD'de kamuya açıklanmış ihlallere ilişkin verilerdir.

IBM'in 2022 verilerine göre, ortalama olarak bir veri ihlali, bundan muzdarip bir şirkete yaklaşık 4,35 milyon ABD dolarına (küresel ortalama) mal olabilir. Böyle bakıldığında, veri güvenliğinin önemli olduğu her girişimciye düşüyor.

Bu yazıda, sağlam veri güvenliği uygulamalarını mobil uygulamalara uygulamanın öneminden ve bunun nasıl doğru yapılacağından bahsediyoruz. Orta Doğu bölgesi için mesajlaşma uygulamamız gibi güvenlik odaklı ürünler geliştirme konusundaki deneyimimizden yararlanıyoruz.

Modern anlamda veri koruma nedir?

Hızla dijitalleşen dünya, veri güvenliği konusunda çılgındır (haklı olarak) ve bugün, yalnızca özel bilgileri korumak amacıyla uygulanan ulusal ve uluslararası türden çok sayıda yasamız var. Hepsi aşağı yukarı aynı prensiplere göre inşa edilmiştir. Bu türden en iyi bilinen uluslararası hukuk muhtemelen Genel Veri Koruma Yönetmeliği veya kısaca GDPR'dir.

GDPR, kişisel bilgileri işlemek için aşağıdaki yedi ilke üzerine kurulmuştur:

GDPR, kişisel bilgileri işlemek için aşağıdaki yedi ilke üzerine kurulmuştur.

  • Yasallık, adalet ve şeffaflık
  • amaç sınırlaması
  • Veri minimizasyonu
  • Kesinlik
  • Depolama sınırlaması
  • Bütünlük ve gizlilik (güvenlik)
  • Hesap verebilirlik

GDPR'nin 5. Maddesinin tamamını alıntılamadan bu ilkeleri özetlersek, veri güvenliği önlemlerinin uygulanması, herhangi bir verinin şu şekilde olacağı anlamına gelir:

  • gereken minimum miktarda toplanır ve işlenir
  • sadece gerekli süre boyunca saklanır ve sonra silinir
  • yalnızca belirli amaçlar için kullanılır ve
  • veri sahibi dışındaki herhangi bir tarafça veri hırsızlığına veya ince ayar yapmaya karşı korumalı

Veri toplayıcılar ayrıca, verilerinin toplanması ve işlenmesi hakkında kullanıcıları bilgilendirmelidir. Veri toplayıcı ve işleyici, bu ilkelere uyulmasından sorumlu olacaktır.

Genellikle hangi mobil uygulama kullanıcılarının verilerinin korunması gerekir?

Hepimiz tarayıcılarda çerezlerle ilgili mesajlar gördük, ancak mobil uygulamalarda böyle bir şey yok. Aynı zamanda mobil uygulamalar, örneğin web sitesi kullanıcılarının oturum açmadığından çok daha hassas bilgileri toplayabilir, saklayabilir ve işleyebilir. Bu tür verilerin kullanımı, riske atılırsa bazı gerçek zararlar verme potansiyeli taşır.

Peki bir mobil uygulama sahibinin ne tür kullanıcı verilerini koruması gerekir? Hassas verilerin münhasır olmayan bir listesi:

İşte hassas verilerin münhasır olmayan bir listesi

  • Kişisel olarak tanımlanabilir bilgiler . Buna kimlik/ehliyet bilgileri, fiziksel adresler ve telefon numaraları dahildir. Bu tür bilgiler e-ticaret uygulamalarında sıklıkla kullanılır çünkü bir paket göndermek için satıcı bu bilgilere ihtiyaç duyar. Bazı teslimat uygulamaları, uygulamalarında kapı kilidi anahtar kodlarını depolayarak apartman binalarını hırsızlara açma potansiyeline sahiptir.
  • Kişisel sağlık bilgileri ve tıbbi kayıtlar . Teletıp uygulamaları ve bazı sağlık ve ilaç alımı izleyicileri (örn. kronik rahatsızlıkları olan kişilere yönelik olanlar), bazen EHR sistemleriyle senkronize olur ve kullanıcılardan doktorlarına veri gönderebilir. Diğer zamanlarda, uygulama verileri aktarmadan yalnızca depolayabilir; kullanıcı, kendi takdirine bağlı olarak, daha sonraki bir tarihte doktora gösterebilir.
  • Ödeme kartı ve banka bilgileri . Günümüzde çoğu uygulama, ödemeleri işlemek için G Pay ve Apple Pay'i kullansa da, özellikle kullanıcılar sistem cüzdanlarını kartlarına bağlamamayı tercih ettiğinde, bazılarının uygulamada kredi kartı bilgilerini depolaması hala alışılmadık bir durum değil. Durum buysa, uygulama sahipleri bu tür verileri korumak için büyük çaba sarf etmelidir.
  • Sosyal güvenlik numaraları, sigorta bilgileri . Sigortayla ilgilenen uygulamalar, kullanıcıların sosyal güvenlik numaralarını ve sigorta bilgilerini depolar. Bu tür bilgiler, kişisel olarak tanımlanabilir bilgilerle birlikte hassas olarak kabul edilir.

Tüm bu bilgiler, uygulamanın satın alma, sağlığı koruma, kişisel etkinlikleri yönetme ve daha fazlası gibi amacı doğrultusunda kullanılmak üzere mobil uygulamalardaki kullanıcı profillerinde saklanabilir. Ve bu tür veriler uygulamanın sunucularından çalınırsa kimlik hırsızlığı, dolandırıcılık, kimlik avı saldırıları, soygun ve daha birçok suç için kullanılabilir.

Bu nedenle, bu tür hassas bilgilerden bir veya birkaçını işlemesi gereken bir uygulama geliştiriyorsanız, yeterli uygulama müşteri verisi koruması sağlamak, uygulamanın sahibi olarak sizin görevinizdir.

Daha sonra geçeceğimiz mobil uygulamalar için veri güvenliğini sağlamanın birkaç yolu vardır. İlk olarak, en son veri sızıntısı durumlarından bazılarını vurgulamak istiyoruz.

Kullanıcı mobil uygulaması veri sızıntısının en son popüler vakaları

Kullanıcı mobil uygulaması veri sızıntısının en son popüler vakaları

Bu yazının başında da belirttiğimiz gibi 2021, veri ihlallerinin rekor düzeyde yaşandığı bir yıl oldu. Bunlardan birkaçı mobil uygulamaları içeriyordu. İşte onlardan sadece bazıları.

Android kullanıcıları veri sızıntısı

Bu ihlal belirli bir uygulamaya ait değildi. Bunun yerine, çok sayıda uygulama içeriyordu. En az yirmi üç uygulama etkilendi, ancak daha fazlası olabilirdi. Ancak, etkilenen uygulamaların sayısı aslında önemli değil.

Önemli olan sebeptir. Bazı uygulama geliştiricileri, üçüncü taraf bulut hizmetlerinin yapılandırmalarına yeterince dikkat etmedi ve bu da 100 milyondan fazla Android kullanıcısının kişisel verilerinin açığa çıkmasına neden oldu. Açıklanan veriler, adlar ve adresler gibi kişisel olarak tanımlanabilir bilgilerin yanı sıra tıbbi bilgiler, fotoğraflar, ödeme bilgileri ve telefon numaralarını içeriyordu.

Kulüp binası

Şubat 2021'de birden fazla kaynak, Çinli bir geliştiricinin web ve Android kullanıcılarının yalnızca iOS'a özel Clubhouse uygulamasına erişmesine izin veren açık kaynaklı bir uygulama oluşturduğu bir vakayı bildirdi. İnsanlar herhangi bir Clubhouse akışını iPhone veya davet kodu olmadan dinleyebilirdi, bu da Clubhouse'a geldiğinde başka bir tartışma konusuydu.

Bu ihlal başlangıçta kötü niyetli gibi görünmese de, Clubhouse'un güvenliğindeki açıkları ortaya çıkardı ve herkesin özel tartışmalara erişmesine izin verdi.

Klarna ödeme uygulaması

İsveçli mobil bankacılık uygulaması Klarna, Mayıs 2021'de bir veri ihlaline maruz kaldı, ancak bunun hızla üstesinden gelindi ve bildirildiğine göre önemli bir zarara yol açmadı. İhlalin özü, hesaplarında oturum açan kullanıcıların kısa süreliğine diğer - rastgele - kullanıcıların hesaplarında oturum açmaları ve hesap bilgilerini görebilmeleriydi.

Facebook

Facebook, büyük veri ihlali skandallarıyla ünlüdür. 2016'daki Cambridge Analytica skandalı, 2019'daki veri sızıntısı ve 2019'da düzeltilmesi gereken güvenlik açığından yararlandığı söylenen en son 2021 sızıntısı. Sonuç? Dünyanın her yerinden 533 milyon kullanıcının verileri sızdırıldı.

Portpass COVID sertifika uygulaması

Kullanıcıların Kanada'daki aşı durumlarını kanıtlamalarını sağlamayı amaçlayan özel bir uygulamanın, korumasız web sitesinde kullanıcılarının kişisel olarak tanımlanabilir bilgileri ifşa edilmişti. Veriler, sürücü belgelerinin ve pasaportların fotoğraflarını, adları, adresleri, telefon numaralarını ve hatta kullanıcıların kan gruplarını içeriyordu.

Temel veri güvenliği denetimi türleri

Temel veri güvenliği denetimi türleri

Giriş kontrolu

Erişim kontrolü veya erişim yönetimi, veri güvenliği bileşenleri arasında en basit olanıdır . Adından da anlaşılacağı gibi, verilerin depolandığı alanlara erişimi mümkün olduğunca az kişiyle sınırlandırmanız anlamına gelir. Yalnızca görevlerini yerine getirmek için bu tür erişime ihtiyaç duyan çalışanlar verileri elde etme olanağına sahip olabilir ve bu tür çalışanların dikkatli bir şekilde seçilmesi gerekir.

kimlik doğrulama

Mobil uygulamanız için uygun kimlik doğrulaması, kullanıcılar tarafında sızıntılara ve ihlallere karşı bir miktar koruma sağlamaya yardımcı olacaktır. Uygulamanız finansal, sağlıkla ilgili veya kişisel olarak tanımlanabilen hassas verilerle ilgileniyorsa, uygulamada oturum açma işleminde güvenlik önlemlerinin alınması gerekir . Örneğin, e-postaya kısa vadeli kodlar yoluyla yüz tanıma, parmak izi taraması ve iki adımlı kimlik doğrulama.

Veri silme

Hassas kullanıcı bilgilerini yalnızca hizmet sağlamak için gerekli olduğu sürece sunucularda depolamak GDPR ilkelerinden biridir. Bu bilgilere duyulan ihtiyaç ortadan kalktığında, veriler silinecektir. Ne de olsa, sunucularda veri yoksa veriler hacklenemez veya sunuculardan sızdırılamaz.

Veri şifreleme

Mobil uygulamanızda kullanıcı verilerini korumanın en kesin yollarından biri, uçtan uca şifreleme kullanmaktır. Bu şekilde, şifre çözme anahtarları olmadan veriler bir anlam ifade etmeyeceğinden, yanlışlıkla bir veri sızıntısı neredeyse imkansız hale gelir. Özellikle şifre çözme anahtarları sunucularınızda değil, kullanıcı cihazlarında tutuluyorsa ve her kullanıcı için benzersizse, bu tür verileri hacklemek de çok daha zor olacaktır.

veri maskeleme

Verileri şifrelemenin yollarından biri onu maskelemektir. Veri maskeleme, karakterlerin ve sayıların proxy karakterler tarafından gizlendiği bir işlemdir. Mükemmel bir çözüm değil ama bazı kazara veya kötü niyetli olmayan ihlallere karşı işe yarıyor.

Veri esnekliği

Şifreleme, maskeleme ve silme, sızıntılara ve bilgisayar korsanlarına karşı koruma anlamına gelirken, veri esnekliği veri kaybına karşı korumadır . Sizin veya kullanıcılarınızın sürekli ihtiyaç duyduğu veriler varsa, bu tür verilerin yedeğini almalısınız. Bu şekilde, ana sunucularınıza bir şey olursa, veriler yedekten geri yüklenebilir.

Mind Studios olarak, Mart 2021'de kullandığımız OVH sunucuları alev aldığında ve bazı veriler zarar gördüğünde bu uygulamayı sürdürerek kurtulduk. Ama yedeklerimiz vardı, bu yüzden her şey yolunda gitti.

Olay Müdahale Planı

Bir ihlal veya sızıntı olması durumunda, şirketinizin önceden bir eylem planı oluşturması gerekir. Farklı düzenleyicilerin, böyle bir planın neleri içermesi gerektiğine dair kendi gereksinimleri vardır.

Genellikle, sızıntıyı keşfettikten sonra yapılacak ilk şey, etkilenen kullanıcılara, özellikle de sızan veriler kimlik hırsızlığı veya dolandırıcılık gibi kötü amaçlarla kullanılabiliyorsa, verilerinin tehlikeye girebileceğini bildirmektir .

Mobil uygulama veri güvenliği zorlukları

Büyük Veri'nin büyümesiyle birlikte gizlilik ve veri güvenliğini sürdürmek giderek daha zor hale geliyor. İnsanlar, habercilerde, sosyal ağlarda, bankacılık uygulamalarında, e-ticaret ve sağlık platformlarında vb. çevrimiçi olarak hayatlarının giderek daha fazlasını paylaşıyor.

Ayrıca uygulama sahipleri, hizmetleri iyileştirmek ve hedefli reklam sağlamak için kullanılan uygulama içi davranış ve etkinlik günlükleri gibi kullanıcıları hakkında diğer verileri saklar. Bu tür verilerin çok büyük bir kısmını güvende ve düzenli tutmak zorlu bir iştir. Bu nedenle , süreçlerdeki küçük bir hatanın bir sızıntıya neden olması pek de şaşırtıcı değil.

Diğer bir zayıf nokta, uygulamaların topladığı bazı verilerin üçüncü taraf kaynaklarda depolanabilmesidir. Bu tür kaynaklar, uygulama sahibinin organizasyonunun parçası değildir ve bu nedenle kaynağın güvenliği, uygulama sahibinin kontrolünde değildir.

Peki, uygulamanızın ve kullanıcılarının güvende olduğundan emin olmak için ne yapabilirsiniz?

Mobil uygulama veri güvenliği nasıl artırılır?

Mobil uygulama veri güvenliği nasıl artırılır?

Yukarıdaki örneklerden de görebileceğiniz gibi, tüm veri sızıntıları bilgisayar korsanlarının işi değildir veya kötü niyetten kaynaklanmaz. Aslında, veri ihlallerinin ezici çoğunluğu - %95'i aşan bir oran - insan hatasından kaynaklanıyor.

Bu, bazı üst düzey önlemlere milyarlarca dolar yatırmanıza gerek olmadığı anlamına gelir. İhtiyacınız olan şey, sağlam uygulamalara dayanan ve sorumlu güvenilir veri güvenliği uzmanları tarafından oluşturulmuş bir mobil uygulama veri güvenliği stratejisidir .

Mobil uygulamanızın kullanıcı verilerinin güvenliğini sağlamak için ne gibi önlemler alınabilir?

Uygulama güvenliği için SSL/TLS sertifikaları kullanın

Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) sertifikaları, uygulamanızın sunucuları ve kullanıcıların cihazları arasında verileri güvenli bir şekilde iletmek için gereklidir. SSL sertifikaları, verileri deşifre etmek neredeyse imkansız hale gelecek şekilde karıştırarak çalışır.

SSL sabitleme

SSL/TLS sertifikaları, uygulamalarınızdaki kullanıcı verilerini korumanın en güvenilir yollarından biri olsa da, bazen MITM (ortadaki adam) saldırılarına karşı savunmasız olabilirler. Mobil uygulamanız suçlular tarafından çok aranan bilgilerle ilgileniyorsa (örneğin, bir bankacılık uygulaması), SSL sabitleme kullanmanızı öneririz.

SSL sabitleme, uygulamanızdaki bilinmeyen sunuculardan gelen belgeleri engelleyebilen ve MITM tarafından verilen sahte sertifikaların yüklenmesini önleyebilen bir tekniktir. Bu, geliştirme sırasında uygulamanıza bir SSL sertifikası ana bilgisayarı sabitleyerek yapılır. Sabitlenmiş ana bilgisayardan alınan sertifikalar tek güvenilir sertifikalar olarak kabul edilecektir.

Uygulamanızı güvenlik açıklarına karşı düzenli olarak test edin

Güvenlik açıklarını test etmenin ve ortadan kaldırmanın yolları vardır. Burada önemli olan, bunu düzenli olarak yapmaktır, çünkü:

  • hackleme yöntemleri oldukça hızlı gelişir
  • insan hatasından kaynaklanan bir güvenlik açığı varsa, geliştiriciler bir kez kontrol ederken bunu gözden kaçırabilir, ancak birkaç uzman tarafından tekrarlanan testler, bulunmasını sağlayacaktır.

Penetrasyon testi

Sızma testi, geliştiricilerinizin veya QA uzmanlarınızın, koddaki olası tüm zayıf bağlantıları bulmayı amaçlayan uygulamanızın güvenlik açıklarına simüle edilmiş bir siber saldırı gerçekleştirmesidir. Bu tür testler sunucular/arka uç, ön uç, API'ler vb. için yapılabilir. Güvenlik açıklarını bulmak, onları ortadan kaldırmakla ilgilidir.

Üçüncü taraf kitaplıkları kullanırken dikkatli olun

Yukarıda bahsettiğimiz büyük Android veri ihlali, üçüncü taraf bulut hizmetlerinin yanlış yapılandırılması nedeniyle gerçekleşti. Bazen geliştiriciler, özellikle tanınmış bir sağlayıcıysa ve bir yanlış yapılandırmayı veya koddaki bir hatayı gözden kaçırırsa, kitaplık sağlayıcısına güvenmek isteyebilirler.

Üçüncü taraf kitaplıkları kullanırken, sıfırdan kod yazmakla aynı şey olmadığı ve bir hatayı gözden kaçırmak daha kolay olduğu için her şeyi sıkı bir şekilde kontrol etmek önemlidir.

Mind Studios nasıl yardımcı olabilir?

Mind Studios nasıl yardımcı olabilir?

Ukraynalı yazılım mühendisleri, 2016 HackerRank Programlama Olimpiyatları sırasında Güvenlik zorluklarında 1. ve genel olarak 11. oldu. O zamandan beri, Ukraynalı yazılım geliştirme şirketleri gelişmeye ve kendilerini ve uzmanlarını eğitmeye devam etti.

2021'de Coursera Global Skills Report, Ukrayna'yı Teknolojide 8. sıraya yerleştirdi. Pentalog'un 2022 Beceri Değeri raporunda Ukraynalı geliştiriciler dünya çapında 4. sırada yer alıyor.

Mind Studios olarak, ülkemizin teknolojik gelişmeye odaklanmasından gurur duyuyoruz ve üstlendiğimiz projelerde de veri güvenliğini öncelik listemizin üst sıralarında tutuyoruz. Kişisel bilgilerle ilgilenen birden fazla ürün üzerinde çalıştık ve burada kullanıcı verilerini korumak için üst düzey güvenlik uyguladık.

Veri güvenliği konusunda yüksek talep gören son projelerimiz arasında, Danimarka için bir yemek dağıtım hizmeti ve Orta Doğu için bir güvenli mesajlaşma uygulaması yer alıyor. Daha fazla ayrıntı öğrenmek için örnek olay incelemelerimize göz atın.

Son düşünceler

Dünya dijital alanlara geçtikçe, veri koruma önlemlerine olan ihtiyaç yalnızca artacak ve veri güvenliği mevzuatları yalnızca daha katı hale gelecektir. İnsanların Facebook'a olan güveni, çok sayıda veri ihlali skandalından sonra paramparça oldu. Büyük ve küçük şirketlerin dahil olduğu benzer skandallar artık üstü örtülmeden yüksek sesle ve net bir şekilde duyuluyor.

İster start-up sahibi olun, ister mevcut bir mobil uygulaması olan deneyimli bir iş adamı olun , en son veri koruma teknolojilerine ayak uydurmak çok önemlidir. Ürününüzün bunlara karşı güvenliğini gözden geçirmek ve buna göre veri koruma önlemlerini güncellemek en önemli öncelik haline geliyor.

Mind Studios'ta mobil uygulama güvenliği konusunda ustayız ve bu mekanda karşımıza çıkan her türlü zorluğun üstesinden gelebiliriz. Konuyla ilgili herhangi bir sorunuz varsa, formu doldurmanız halinde temsilcilerimiz size 45 dakikalık ücretsiz danışmanlık sunabilir.

1