Subdomain Takeover Saldırıları: Terk Edilmiş Alt Alan Adlarının Ele Geçirilmesiyle Form Verisi Toplama ve KVKK Boyutu
Kurumsal genişleme süreçlerinde oluşturulan ancak işlevi bittiğinde DNS kayıtları temizlenmeyen alt alan adları, Subdomain Takeover saldırılarının bir numaralı hedefidir. Bu saldırı, bir DNS kaydının artık var olmayan bir bulut hizmetine (AWS, Azure, GitHub vb.) işaret etmesiyle oluşan “Dangling DNS” (Sarkan DNS) hatasını istismar eder. Saldırgan, boşa çıkan bu kaynağı kendi bulut hesabına tanımlayarak, kurumun resmi alt alan adını (örneğin test.kurum.com) tamamen kontrolü altına alır.
Saldırganın ele geçirdiği bu meşru adres üzerinden yayınladığı sahte formlar, kullanıcılarda hiçbir güvenlik şüphesi uyandırmaz. URL’deki marka güveni ve mevcutsa Wildcard SSL sertifikası sayesinde, kullanıcılar T.C. kimlik numarası veya şifre gibi hassas verilerini doğrudan saldırgana teslim ederler. Bu yöntem ayrıca Cookie Hijacking (Çerez Hırsızlığı) saldırıları için de kurumsal bir sıçrama tahtası görevi görür.
KVKK Madde 12 uyarınca, kurumun “unuttuğu” bir kayıt üzerinden veri sızdırılması, veri sorumlusunun “makul teknik tedbirleri” alma yükümlülüğünü yerine getiremediğinin somut bir kanıtıdır. Bu riskten korunmanın yolu; bulut servisleri kapatılmadan ÖNCE CNAME kayıtlarının silinmesi, periyodik DNS taramaları yapılması ve Certificate Transparency (CT) loglarının takip edilmesidir. Dijital dünyada temizlenmeyen her iz, saldırganlar için keşfedilmeyi bekleyen bir hazine haritasıdır.