Vice News , CNET , The Verge , Neowin ve daha fazlası gibi büyük web sitelerinin okuyucuları , PowerLinks reklam ^{(PowerLinks advertising)} platformundan^{(platform use)} yayınladıkları reklamların süresi dolmuş SSL sertifikaları kullanması nedeniyle 2015'ten beri güvenlik risklerine maruz kalmaktadır . İşte neler olup bittiği, PowerLinks^(PowerLinks) reklamları içeren yayınları okurken kendinizi nelere maruz bıraktığınız ve güvende kalmak için neler yapabileceğiniz:

PowerLinks aracılığıyla sunulan reklamlar , Ekim 2015'te^{(October 2015)} sona eren SSL sertifikalarına sahiptir.^(SSL)

Kişisel bilgisayarımda birkaç web sitesini okurken, güvenlik çözümümün^{(security solution)} tarayıcımın güvenilmeyen bir sertifikayla şifrelenmiş bir kanal üzerinden iletişim kurmaya çalıştığından şikayet ettiğini fark ettim . Virüsten koruma yazılımım, şifreli bağlantının kurulduğu etki alanının gerçekliğini garanti edemedi ve bu benim için bir güvenlik riski^{(security risk)} oluşturuyordu. Başlangıçta, bu uyarıyı görmezden geldim ve okumaya devam ettim. Ancak birkaç büyük web sitesinde gördükten sonra dikkat etmeye başladım ve her şeyi daha detaylı incelemeye başladım.

Bu uyarının büyük çevrimiçi yayınlarda gösterilmesine şaşırdım ve bunun nedeni her zaman pw.powerlinks.com'dan sunulan reklamlardır. Hepsinin de aşağıda göreceğiniz gibi Ekim 2015'te^{(October 2015)} süresi dolan bir SSL sertifikası var.^{(SSL certificate)}

Bunun yalnızca yanlış bir alarm değil de doğru olup olmadığını iki kez kontrol etmek için birinci sınıf başka bir güvenlik ürünü^{(security product)} denedim ve sonuçlar aynıydı. Daha fazla web sitesinde gezindim ve aynı sorunun yayıncılık dünyasındaki^{(publishing world)} bazı büyük isimler için tekrar ettiğini fark ettim .

PowerLinks^{(PowerLinks offer)} yayıncılara ne sunuyor ?

Resmi web sitesine göre PowerLinks , kapsamlı bir reklamcılık çözümleri ve hizmetleri portföyüne sahiptir. Müşteri portföylerindeki siteler için bir Reklam Sunucusu , bir ^{(Ad Server)}Ad Exchange platformu^{(Ad Exchange platform)} , yerel reklamlar (metin içi, video içi, resim içi, besleme içi ve görüntülü reklamlar) ve daha fazlasını sunarlar.

neden bu bir sorundur? Web siteleri, süresi dolmuş SSL sertifikalarına sahip reklamlar görüntülediğinde karşılaştığımız sorunlar

Yüklü iyi bir güvenlik çözümünüz^{(security solution)} yoksa, bu sorunu hiç fark etmeyebilirsiniz. Ancak, HTTP trafiğinizi^{(HTTP traffic)} gerçek zamanlı olarak tarayan iyi bir antivirüs kullanıyorsanız, PowerLinks tarafından sağlanan reklam hizmetlerini kullanan birkaç büyük medya yayınında bir güvenlik^{(security prompt)} istemiyle rahatsız olursunuz .

Rahatsızlık faktörünü^{(annoyance factor)} bir kenara bırakarak , Catalin Patrascu'ya^{(Catalin Patrascu)} ( Romanya Ulusal Bilgisayar Güvenliği Olay Müdahale Ekibi ^{(National Computer Security Incident Response Team)}Bilgi Güvenliği ve İzleme Departmanı^{(Information Security and Monitoring Department)} başkanı ) bu reklamların içerdiği güvenlik risklerini sorduk ve şunları söyledi:

"Teorik olarak SSL sertifikalarının doğrulaması süresi dolmuş olsa bile yapılabilir. Bu hataya alışan ve hatayı her aldığında SSL sertifikasını kontrol etmeyen kullanıcılar için kötü amaçlı yazılımlara yönlendirilme riski vardır. sayfalar ve ortadaki adam saldırılarının hedefi olmak"^{("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks")} .

Dikkate alınması gereken bir diğer önemli nokta, bu reklamların kullanıcı verilerini ve kullanıcı davranışlarını da izlemesidir. Bu veriler, güvenli olmayan bir kanal^{(insecure channel)} aracılığıyla gönderilir ve istenmeyen tarafların müdahalesine karşı savunmasız kalır.

Bu sorundan etkilenen web siteleri şunları içerir: The Verge , Vice News , CNET ve daha fazlası

Bu sorundan etkilenen web sitelerinin tam listesini bilmiyoruz. Tüm PowerLinks^(PowerLinks) müşterilerinin risk altında olduğunu varsayıyoruz . Şimdiye kadar, The Verge^(Verge) , Vice News , CNET , Neowin ve diğerleri^{(Neowin and others)} gibi büyük medya yayınlarında bu sorunu belirledik . Bu web sitelerinin her ay düzinelerce milyonlarca okuyucusu var ve Ekim 2015'ten bu yana ^{(October 2015)}PowerLinks reklamları yayınladıkları her gün hedef kitlelerinin güvenliği riske atılıyor .

Bu sorun, PowerLink'in^(PowerLink) açık ihmalinden kaynaklanmaktadır .

Burada karşı karşıya olduğumuz şey, açık bir ihmaldir. Bu SSL sertifikalarının süresi birkaç gün veya bir ay dolmadı. 2015'ten beri süreleri doldu ve PowerLinks, hem çevrimiçi yayınlara hem de bu yayınların okuyucularına güvenli reklamcılık çözümleri sunma işini yapmıyor. Teknik ekipleri, reklam platformlarının yıllardır süresi dolmuş ^{(advertising platform)}SSL sertifikaları kullandığını fark etmedi ve milyonlarca okuyucuyu riske atarken bu sorunu çözmek için hiçbir şey yapmadı. Kötü amaçlı yazılım^{(Did malware)} yaratıcıları bu sorundan yararlandı mı? Bu iyi bir soru ve PowerLinks'in cevap verip vermeyeceğinden emin değiliz. Sonunda, son kullanma tarihleri ​​gibi temel hususlara bile dikkat etmediler.

Hangi güvenlik^{(Which security)} ürünleri bu sorunu keşfetmeme yardımcı oldu?

Bu sorunu ilk kez daha önce bahsettiğim bazı web sitelerinde gezinirken ve antivirüs olarak ESET Smart Security kullandığımda buldum.^{(ESET Smart Security)}

Bu sorun, aşağıda görebileceğiniz gibi Kaspersky Total Security tarafından da onaylandı .

Bu ürünlerin, bizi bilgilendirmede ve PowerLinks reklam platformunun güvenlik açıklarından korunmada görevlerini yerine getirmesinden ve neler olup bittiğini çözmemize yardımcı olmasından memnunuz. Bu, her zaman üçüncü taraf bir virüsten koruma ürünü^{(antivirus product)} yüklemeniz ve güvenli olmayan bir şekilde web'de gezinmeyi bırakmanız gerektiğinin bir başka kanıtıdır . Web'de korumasız gezinmeyle ilgili riskler hakkında daha fazla bilgi edinmek istiyorsanız, yürüttüğümüz bu deneyi okuyun: Web'de ücretsiz gezinirken Windows PC'nize nasıl bulaşırsınız.^{(Windows PC)}

Bu güvenlik sorunundan^{(security issue)} etkilenen okuyuculara ve yayınlara yardımcı olmak için ne yaptık ?

Öncelikle^(First) bu yazıyı herkesi bu konuda bilgilendirmek için yazdık. Ayrıca PowerLinks'ten^(PowerLinks) resmi bir yorum istedik. Ancak, resmi iletişim e-postaları çalışmıyor ve aldığımız tek şey , aşağıda görebileceğiniz bir Teslimat Durumu Bildirim Hatası .^{(Status Notification Failure)}

Bu makaleyi, etkilendiğini tespit ettiğimiz tüm medya yayınlarının yanı sıra , sosyal medya kanallarını kullanarak PowerLinks'e gönderdik. ^(PowerLinks)Mesajımızı görmezden gelmeyeceklerini ve bu sorunu çözmek için önlemler alacaklarını umuyoruz.

UPDATE (03/21/2017): Sonunda mesajımızı PowerLinks'e göndermeyi başardık ve ^(PowerLinks)İş Geliştirme Başkan Yardımcısı ^{(VP Business Development)}Branden Smythe'den^{(Branden Smythe)} şu yanıtı aldık :

"PowerLinks'e ulaştığınıza dair bir bildirim aldım. Gönderdiğiniz endişeleri kısa süre içinde ele alacağız."^{("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")}

Bugün, tanımladığımız sorunları bulduğumuz web sitelerini tekrar kontrol ettik ve işler şimdi iyi çalışıyor. Görünüşe göre PowerLinks , tüm web sitelerinde ^(PowerLinks)reklam dağıtımını^{(ad delivery)} güvence altına almak için gerekli adımları attı , bu harika. Umarım^(Hopefully) bu sorundan ders çıkarırlar ve SSL sertifikalarının son kullanma tarihi gibi güvenlik temellerine daha iyi bakarlar.^{(expiration date)}

Kendinizi güvenli olmayan PowerLinks^(PowerLinks) reklamlarından korumak için ne yapabilirsiniz ?

Güvenlik çözümünüz , ^{(security solution)}PowerLinks reklamları tarafından kullanılan süresi dolmuş ^(PowerLinks)SSL sertifikalarından şikayet ediyorsa , bunları engellemelisiniz. Gerçek zamanlı HTTP trafiğinizi^{(HTTP traffic)} tarayan bir virüsten koruma yazılımınız yoksa , bu web sitelerini, güvenli olmayan reklamları da engelleyen veya onları engellemenin başka bir yolunu bulan özel tarama modlarını kullanarak çalıştırmalısınız. Bahsettiğimiz web sitelerinde reklamları engelleme taraftarı değiliz çünkü reklamcılık, bu yayınların herkese harika içerik sunabilmesini sağlayan şeydir. Umarım bu sorun yakında çözülür ve hepimiz en sevdiğimiz yayınların reklamlarını engellemeden ve işlerinden gelir elde etmelerine izin vermeden güvenle keyfini çıkarabiliriz.

PowerLinks ads put millions of readers at risk, from major publications like The Verge, Vice News and more

Readers of major wеbsites like Vice News, CNET, The Verge, Neowin and more, have been exposed to security risks since 2015 because the ads they run from the PowerLinks advertising platform usе expired SSL certificates. Here's what іs going on, what you are exрosing yourself to when reading publications that inсlude PowеrLinkѕ ads and what yоυ can do to stay safe:

The ads served through PowerLinks have SSL certificates that expired in October 2015

While reading several websites on my personal computer, I have noticed that my security solution was complaining that my browser is trying to communicate over a channel that is encrypted with an untrusted certificate. My antivirus could not guarantee the authenticity of the domain to which the encrypted connection was established, and this posed a security risk for me. Initially, I ignored this warning and just kept reading. However, after seeing it on several big websites, I started paying attention and studied things in more detail.

I was surprised to find that this warning is shown on large online publications and it is always caused by ads served from pw.powerlinks.com. All of them have an SSL certificate that expired in October 2015, as you can see below.

To double check whether this was true and not just a false alarm, I tried another top-notch security product, and the results were the same. I navigated more websites and noticed that the same problem was repeating for some big names in the publishing world.

What does PowerLinks offer publishers?

According to their official website, PowerLinks has a comprehensive portfolio of advertising solutions and services. They offer an Ad Server for the sites in their portfolio of clients, an Ad Exchange platform, native ads (in-text, in-video, in-image, in-feed and in-display ads) and more.

Why is this an issue? The problems we're exposed to when websites display ads with expired SSL certificates

If you don't have a good security solution installed, you might never notice this issue. However, if you use a good antivirus which scans your HTTP traffic in real-time, then you will be annoyed by a security prompt on several large media publications that use advertising services provided by PowerLinks.

Leaving the annoyance factor aside, we asked Catalin Patrascu (head of the Information Security and Monitoring Department at the Romanian National Computer Security Incident Response Team) about the security risks involved with these ads, and he stated the following:

"Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks".

Another important thing to consider is that these ads also track user data and user behavior. This data is sent through an insecure channel, leaving it vulnerable to interception by unwanted parties.

The websites that are affected by this issue include: The Verge, Vice News, CNET, and more

We don't know the exact list of websites that are impacted by this issue. We assume that all PowerLinks customers are at risk. So far, we have identified this problem on large media publications like The Verge, Vice News, CNET, Neowin and others. These websites have dozens of millions of readers each month, and the security of their audience has been put at risk every day they have run PowerLinks ads, since October 2015.

This problem is caused by plain negligence on PowerLink's part

What we are dealing here is plain negligence. These SSL certificates have not been expired for a couple of days or a month. They have been expired since 2015 and PowerLinks are not doing their job of offering secure advertising solutions to both online publications and readers of those publications. Their technical team did not notice that their advertising platform uses SSL certificates that have been expired for years and did nothing to solve this problem while putting millions of readers at risk. Did malware creators exploit this issue? That's a good question, and we're not sure whether PowerLinks can answer. In the end, they did not even take care of basics like expiration dates.

Which security products helped me discover this issue?

The first time I found this problem was when I was navigating some of the websites I mentioned earlier and used ESET Smart Security as my antivirus.

This issue was also confirmed by Kaspersky Total Security, as you can see below.

We're pleased that these products did their job in informing us and keeping us safe from the security vulnerabilities of the PowerLinks ads platform and helps us unravel what is going on. It's further proof that you should always install a third-party antivirus product and stop browsing the web, unsecured. If you are curious to learn more about the risks involved with browsing the web unprotected, read this experiment that we have run: How to infect your Windows PC while browsing the web for free stuff.

What did we do to help readers and publications that are affected by this security issue?

First of all, we wrote this article to inform everyone on this matter. We also asked PowerLinks for an official comment. However, their official contact e-mail doesn't work, and all we received is a Delivery Status Notification Failure, which you can see below.

We sent this article to all the media publications that we've found that are affected, as well as to PowerLinks, using their social media channels. We hope that they won't ignore our message and will take measures to fix this problem.

UPDATE (03/21/2017): We finally managed to get our message sent to PowerLinks, and we received the following answer from Branden Smythe, VP Business Development:

"I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly."

Today, we checked again the websites where we have found the issues that we described and things are now working well. It seems that PowerLinks has performed the necessary steps to secure their ad delivery on all websites, which is great. Hopefully, they will learn from this problem and take better care of security basics like the expiration date of SSL certificates.

What can you do to protect yourself from insecure PowerLinks ads?

If your security solution is complaining about the expired SSL certificates used by PowerLinks ads, you should block them. If you don't have an antivirus which scans your real-time HTTP traffic, then you should run these websites using private browsing modes that also block the insecure ads or find some other way of blocking them. We are not fans of blocking ads on the websites that we have mentioned because advertising is what keeps these publications able to provide everyone with great content. Hopefully, this problem will be solved soon, and we can all enjoy our favorite publications, safely, without blocking their advertising and allowing them to earn revenue from their work.

Related posts

• Cisco'dan Jamey Heary: Hassas bilgilerle çalışan, şifreli WiFi, VPN ve şifreli uygulamalar kullanan kuruluşlar

• Eğitim yoluyla siber güvenlik: Kaspersky Interactive Protection Simulation

• Ödüller - 2017 yılının en popüler antivirüs ürünü

• Windows 10 Kasım 2019 Güncelleştirmesi'ndeki yenilikler nelerdir?

• Windows 10 Creators Update'te Windows Defender'a gelen yeni özellikler

• Karşılaştırma: 2018'de Windows cihazları için en iyi antivirüs hangisi?

• Windows 10'da bir VHD file'lik bir VHD file'i nasıl açılır, çıkarabilir veya kalıcı olarak takın

• Synology DiskStation Manager 7: Beta mevcuttur, ücretsiz güncelleme 2021 geliyor

• Windows 11 Sucks: 7 Sebep neden beğenmeyeceğinizi

• Windows 10 Mayıs 2019 Güncelleştirmesi'ndeki yenilikler nelerdir? 13 yeni özellik!

• ESET EndPoint Encryption (DESlock+) ile yapabileceğiniz 8 şey

• Windows 10 yaklaşık 13 iyi şeyler

• Ödüller: 2018 yılının en popüler antivirüs ürünü

• Herkes için güvenlik - Güvenlik ürünlerini nasıl inceliyoruz?

• Android cihazınızın sağlığını teşhis etmenize yardımcı olan 4 uygulama

• Ödüller - 2017 yılının en iyi antivirüs ürünü

• Windows 10 Nasıl Networking ile güvenli Mode Nasıl Başlatılır

• Cyberghost VPN'in piyasadaki en iyi VPN'lerden biri olmasının 8 nedeni

• Windows 10 S'yi yüklemeden önce şu önemli sorunları göz önünde bulundurun

• ESET Secure Authentication ile yapabileceğiniz 7 şey