Google, Workspace kullanıcılarının oturum bilgilerini hedef alan gelişmiş saldırı yöntemlerine karşı yeni bir güvenlik sistemini devreye alıyor. Şirketin geliştirdiği “cihaza bağlı oturum kimlik bilgileri” (Device Bound Session Credentials – DBSC) adlı yeni güvenlik yapısı, özellikle çerez hırsızlığına dayalı hesap ele geçirme saldırılarını önlemeyi amaçlıyor. İlk aşamada Windows işletim sisteminde Chrome tarayıcısı için test edilen bu sistem, Workspace kullanıcılarının oturum çerezlerini sadece oluşturuldukları cihazda geçerli kılacak şekilde yapılandırıyor.
Son yıllarda internet kullanıcılarının karşı karşıya kaldığı saldırılar giderek daha karmaşık hale gelirken, özellikle kimlik doğrulama çerezlerinin çalınarak başka cihazlarda kullanılması ciddi bir güvenlik zafiyeti oluşturuyor. Bu tür saldırılar, kullanıcıların zararlı yazılım içeren dosyaları farkında olmadan indirmesiyle başlıyor. Ardından kötü niyetli yazılımlar, kullanıcının oturum çerezlerini alıp bunları uzak bir sunucuya aktarıyor. Bu yöntemle saldırganlar, 2FA gibi güvenlik önlemlerini aşarak kurbanın hesabına başka bir cihazdan erişebiliyor.
Google Workspace saldırganların işini zorlaştırıyor
Google’ın DBSC çözümü, oturum çerezlerinin yalnızca oluşturuldukları cihaz üzerinde geçerli olmasını sağlayarak bu tehditlere doğrudan müdahale ediyor. Çerezlerin farklı bir cihazda çalışmaması, saldırganların çalıntı oturum bilgileriyle hesaplara erişimini neredeyse imkânsız hale getiriyor. Google’ın yaptığı açıklamalara göre bu tür saldırılar son yıllarda ciddi bir artış gösterdi ve 2025 itibarıyla daha da sık rastlanır hale geldi. Şirketin güvenlik yetkilileri, mevcut koruma sistemlerinin bu tarz saldırılara karşı yeterince güçlü olmadığını ve ek çözümler geliştirilmesi gerektiğini vurguluyor.
2023 yılında Linus Tech Tips ve bağlı olduğu diğer YouTube kanalları bu tür bir saldırının hedefi olmuştu. Bir çalışanın sahte sponsorluk teklifine tıklayıp zararlı dosya indirmesi sonucu oturum çerezleri çalınmış ve hesaplar kısa süreliğine ele geçirilmişti. Bu olayın ardından YouTube, içerik üreticilerini benzer dolandırıcılık girişimlerine karşı uyardı. Aynı yıl içerisinde Google Chrome eklentilerine zararlı kodlar yerleştirilerek benzer çerez hırsızlıkları da gerçekleştirilmişti.
Google, DBSC özelliğini 2024’te geliştirmeye başladığını belirtiyor. Yeni güvenlik yapısı sadece Workspace ile sınırlı kalmayabilir; zira kimlik doğrulama altyapısı sağlayıcısı Okta ve Microsoft Edge gibi tarayıcılar da bu teknolojiyle ilgilendiklerini bildirdi. DBSC’nin yanı sıra, Workspace yöneticilerine geçiş anahtarı (passkey) kullanımını da etkinleştirmeleri öneriliyor. Google, bu yöntemle 11 milyondan fazla kullanıcıyı kapsayan ek bir güvenlik katmanı oluşturmayı hedefliyor.
Öte yandan, çerez hırsızlığı sadece bireysel kullanıcılar değil, kurumsal yapılarda da ciddi sonuçlar doğurabiliyor. Özellikle yüksek erişime sahip hesapların ele geçirilmesi, hem veri kaybına hem de marka güvenilirliğine zarar verebiliyor. Bu nedenle sadece teknolojik çözümler değil, kullanıcı farkındalığı ve dijital hijyen alışkanlıkları da güvenlik zincirinin önemli birer halkası olarak öne çıkıyor. Kurumların bu tür saldırılara karşı teknik önlemler kadar çalışanlarına yönelik bilgilendirme ve eğitim süreçlerini de güçlendirmesi gerektiği belirtiliyor.
