Subdomain Takeover Saldırıları: Terk Edilmiş Alt Alan Adlarının Ele Geçirilmesiyle Form Verisi Toplama ve KVKK Boyutu
Nisan 6, 2026
Bulut Güvenliği,Cloud Security,KVKK,Phishing,Siber Savunma
Kurumlar, dijital genişleme süreçlerinde ana alan adlarının (domain) altında kampanya siteleri, test ortamları veya destek platformları için çok sayıda alt alan adı (subdomain) oluştururlar. Genellikle bulut tabanlı servis sağlayıcılar (AWS, Azure, GitHub Pages, Heroku vb.) üzerinden barındırılan bu siteler, işlevlerini tamamladıklarında içerikleri silinir; ancak bu sitelere yönlendirme yapan DNS kayıtları (CNAME) genellikle silinmeden unutulur. “Subdomain Takeover” (Alt Alan Adı Ele Geçirme) saldırıları, bu “terk edilmiş” DNS kayıtlarını suistimal ederek, meşru bir kurumsal alt alan adının kontrolünün tamamen saldırgana geçmesine neden olur. Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, kurumun resmi adresi altında sahte bir veri toplama formunun yayınlanması, “veri güvenliği” ve “doğruluk” ilkelerinin ağır bir ihlalidir.
Konunun Temel Açıklaması
Subdomain Takeover, bir DNS kaydının (özellikle CNAME) artık var olmayan bir dış kaynağa (bulut servisine) işaret etmesi durumunda ortaya çıkar. Saldırgan, ilgili bulut servisinde bir hesap açarak, boşta kalan bu alt alan adını kendi hesabına tanımlar. Sonuç olarak; kampanya.kurum.com gibi meşru görünen bir adres, aslında saldırganın kontrolündeki bir sunucuya hizmet vermeye başlar. Kullanıcılar, kurumun marka değerine ve SSL sertifikasına (eğer wildcard ise) güvenerek bu siteye kişisel verilerini girdiklerinde, veriler doğrudan saldırganın veritabanına akar.
Çalışma Mantığı / Teknik Arka Plan
Saldırının temelinde “Dangling DNS” (Sarkan DNS) adı verilen yapılandırma hatası yatar. Bir kurum, test.kurum.com adresini bir bulut platformuna (örneğin Azure) yönlendirmiş olsun. Kurum Azure üzerindeki hizmeti sonlandırdığında ama DNS kaydını silmediğinde, o adres “sahipsiz” kalır.
Teknik süreç şu adımları izler:
- Keşif: Saldırgan, kurumun tüm alt alan adlarını tarar ve her birinin yanıtlarını inceler. Eğer bir adres “404 Not Found” veya servis sağlayıcıya özgü bir “NoSuchBucket” hatası veriyorsa, bu adres potansiyel bir hedeftir.
- Sahiplenme: Saldırgan, ilgili bulut platformuna gider ve “Benim kurum.com adında bir sitem var” diyerek bu adresi kendi paneline ekler.
- Yayın: DNS kaydı zaten bu platforma baktığı için, internet trafiği artık saldırganın hazırladığı içeriğe yönlenir. Saldırgan buraya kurumun orijinal sitesine birebir benzeyen bir “İletişim” veya “Giriş” formu yerleştirir.
Kullanım Senaryoları veya Saldırı Perspektifi
Saldırı perspektifinden bakıldığında, subdomain takeover en etkili “Kimlik Avı” (Phishing) yöntemidir. Çünkü URL satırında kurum.com ibaresi meşru olarak yer almaktadır. Saldırganlar bu yöntemi genellikle “Form Verisi Toplama” (Data Harvesting) için kullanır. Örneğin; eski bir “İş Başvurusu” alt alan adını ele geçiren saldırgan, buraya yeni bir başvuru formu koyarak kişilerin T.C. Kimlik No, özgeçmiş ve iletişim bilgilerini toplar. Ayrıca, bu yöntem “Cookie Hijacking” (Çerez Hırsızlığı) için de kullanılır; tarayıcılar ana domain (kurum.com) için set edilen çerezleri alt alan adlarına da gönderdiği için, saldırgan bu yolla kullanıcıların oturum bilgilerini kolayca ele geçirebilir.
Riskler ve Etkileri
Subdomain takeover saldırılarının etkisi, kurumun dijital itibarının ve kullanıcı verilerinin tamamen kaybedilmesidir. En büyük risk, “Güven İstismarı”dır; kullanıcı meşru bir adreste olduğu için hiçbir güvenlik şüphesi duymaz. Teknik risk olarak; saldırganın ele geçirdiği alt alan adı üzerinden kurumsal e-postalara sızması veya kurumun SSL sertifikasını kullanarak trafiği dinlemesi (MitM) söz konusudur. KVKK açısından bu durum, veri sorumlusunun “kendi dijital sınırlarını koruyamaması” olarak değerlendirilir. Binlerce kişinin verisinin kurumun resmi kanalları süsü verilmiş bir platform üzerinden sızması, en yüksek sınırdan idari para cezalarına ve kitlesel tazminat davalarına yol açar.
Tespit Yöntemleri
Subdomain takeover saldırılarının etkisi, kurumun dijital itibarının ve kullanıcı verilerinin tamamen kaybedilmesidir. En büyük risk, “Güven İstismarı”dır; kullanıcı meşru bir adreste olduğu için hiçbir güvenlik şüphesi duymaz. Teknik risk olarak; saldırganın ele geçirdiği alt alan adı üzerinden kurumsal e-postalara sızması veya kurumun SSL sertifikasını kullanarak trafiği dinlemesi (MitM) söz konusudur. KVKK açısından bu durum, veri sorumlusunun “kendi dijital sınırlarını koruyamaması” olarak değerlendirilir. Binlerce kişinin verisinin kurumun resmi kanalları süsü verilmiş bir platform üzerinden sızması, en yüksek sınırdan idari para cezalarına ve kitlesel tazminat davalarına yol açar.
Önleme ve Güvenlik Önlemleri
Bu riski ortadan kaldırmak için “Sıkı DNS Yönetimi” politikası uygulanmalıdır:
- Kayıt Silme Prosedürü: Bir bulut hizmeti (SaaS, PaaS) sonlandırılmadan ÖNCE, ona işaret eden DNS kaydı (CNAME) mutlaka silinmelidir.
- DNS Kaydı Takibi: DNS yönetim panellerinde açıklama (comment) satırları kullanılarak, her bir kaydın hangi servise ve hangi amaçla ait olduğu dökümante edilmelidir.
- Dış Servis Doğrulaması: Bazı modern bulut sağlayıcılarının sunduğu “DNS Verification” (TXT kaydı ile sahiplik doğrulama) özellikleri mutlaka aktif edilmelidir.
- Otomatik Denetim: CI/CD süreçlerine, yayından kaldırılan uygulamaların DNS kayıtlarını da otomatik olarak temizleyen scriptler dahil edilmelidir.
Kurumsal Perspektif / Gerçek Hayat Kullanımı
Kurumsal yönetim ve KVKK uyumu açısından subdomain takeover, “Envanter Yönetimi” ve “Teknik Tedbir” eksikliğidir. KVKK Madde 12 uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı erişimini engellemek için gerekli her türlü önlemi almalıdır. Bir kurumun “unuttuğu” bir DNS kaydı üzerinden veri sızdırılması, “makul bir teknik tedbirle engellenebilecek bir durumun ihmal edilmesi” olarak nitelendirilir.
Gerçek hayatta, birçok büyük teknoloji şirketi (Microsoft, Starbucks, Uber vb.) geçmişte bu tür açıklar nedeniyle kullanıcı verilerini riske atmış ve “Bug Bounty” programları kapsamında bu açıkları bildirenlere yüksek ödüller ödemiştir. Kurumlar, sadece aktif sitelerini değil, internete açık olan tüm DNS “işaretçilerini” birer veri giriş kapısı olarak görmeli ve bu kapıların nereye açıldığını her an kontrol etmelidir.
Sonuç
Sonuç olarak Subdomain Takeover, dijital dağınıklığın ve zayıf varlık yönetiminin bir bedelidir. Terk edilmiş bir alt alan adı, siber saldırganlar için yasal görünen bir dolandırıcılık merkezine dönüşebilir. Teknik koruma, sadece aktif sunucuları yamalamak değil, dijital ekosistemin tüm uç noktalarını ve geçmişteki yapılandırma izlerini de temizlemektir. KVKK uyumu ve marka güvenilirliği için kurumlar, DNS kayıtlarını “silinmesi gereken birer veri sızıntısı kaynağı” olarak görmeli ve dijital temizliği operasyonel bir rutin haline getirmelidir. Unutulmamalıdır ki, dijital dünyada “unuttuğunuz” her kayıt, saldırganlar için “hatırlanan” bir fırsattır.
Tags :
#CloudSecurity,#CNAME,#DNSSecurity,#KVKK,#Phishing,#SiberSavunma,#SubdomainTakeover,#VarlıkYönetimi
Share This :