Dil
Makale

OAuth izinleri: SaaS bir uygulamayı sessizce kim açabilir?

Saldırgan SSO'yu kırmaz; kullanıcı tek tıkla bir uygulamaya Drive'ın tamamını verir. OAuth consent saldırıları neden 2026'nın sessiz açık kapısı ve haftalık gözden geçirme listesi.

3 Haziran 2026
7 dk okuma
OAuthSSPMKimlik

2025 ortasından beri güvenlik haberlerinde sık duyduğumuz bir kalıp var: "saldırgan SSO'yu kırmadı; kullanıcı tek tıkla zararsız görünen bir uygulamaya izin verdi." Microsoft'un OAuth onay (consent) saldırılarına ilişkin yayınladığı uyarıların ardından SSPM (SaaS Security Posture Management) Gartner Hype Cycle'da hızla yükseldi. Sebep tek bir cümle: her SaaS tenant'ı (kiracısı), kullanıcıların kendi başına onayladığı OAuth uygulamalarıyla dolu.

Bu yazıda OAuth izin envanterinin neden modern bir SSPM aracının olmazsa olmazı haline geldiğini, "yüksek-riskli" scope sınıflandırmasının ne olduğunu ve haftada bir gözden geçirmeniz gereken pratik listeyi anlatıyoruz.

OAuth onayı neden bu kadar kritik

Microsoft 365, Google Workspace, Salesforce, Slack — tüm modern SaaS platformlarında kullanıcılar üçüncü taraf uygulamalara tarayıcıdan onay verebiliyor. "Google ile giriş" akışı tipik olarak şunlara izin ister:

  • E-postanıza erişim
  • Takviminizi yönetme
  • Drive dosyalarınızı okuma/yazma
  • Kişilerinizi listeleme

Bu izinler kullanıcı oturumu bittikten sonra devam eder. Token (erişim anahtarı) genellikle uzun ömürlüdür. Saldırı senaryosu basit: kullanıcı zararsız görünen bir AI özetleyici uygulamaya izin verir; uygulama Drive'daki tüm belgeleri arka planda kopyalar. SSO logu tertemiz, hiçbir uyarı tetiklenmez — çünkü işlem kullanıcı adına gerçekleşti.

Scope sınıflandırması: hangi izin gerçekten tehlikeli

Bütün OAuth izinleri aynı seviyede değil. Sektör pratiği üç ana kategori ayırır:

Yüksek-risk (admin / yazma)

  • Mail.Send, Mail.ReadWrite — kullanıcı adına e-posta gönderme ve okuma
  • Files.ReadWrite.All — tüm dosyaları okuma + yazma
  • Directory.ReadWrite.All — kimlik verisini değiştirme
  • Sites.FullControl.All — SharePoint tam kontrol

Orta-risk (geniş okuma)

  • Files.Read.All — tüm dosyaları okuma
  • Calendars.Read — takvim okuma
  • Contacts.Read — kişiler okuma

Düşük-risk (kimlik / profil)

  • User.Read, openid, profile — sadece kimlik

Önemli olan: bir kullanıcının yüksek-riskli scope verdiği bir uygulamayı haftalarca/aylarca gözden geçirmeden bırakmak aktif bir arka kapı bırakmak demektir. Saldırgan o uygulamayı bir kez ele geçirirse, tüm yetkileri otomatik devralır.

OAuth scope'larının dört kademeli risk piramidi. Tek bir 'Yetkilendir' tıklaması, kullanıcının basit profil bilgisinden tüm dosyaları yazma yetkisine kadar geniş bir spektrumu açabilir; envanterde bu ayrımı yapmayan SSPM kör.
CenseCloud yaklaşımı
Entra ID üzerinde oauth2PermissionGrants uç noktasından gerçek izinleri okuyoruz, scope'ları yüksek/orta/düşük risk olarak otomatik sınıflandırıyoruz ve risks sayfasında listeliyoruz. Adı tanınmayan bir uygulamanın yüksek-riskli scope tutup tutmadığını haftada bir denetlemek — küçük ama etkisi büyük bir alışkanlık.

Haftalık OAuth gözden geçirme listesi

SSPM ekibinizin haftada bir gözden geçirmesi gereken minimum liste:

  • Yeni eklenen uygulamalar. Geçen haftadan beri tenant'a kayıt olan üçüncü taraf uygulamalar.
  • Yüksek-riskli scope alan uygulamalar. Özellikle ReadWrite.All, FullControl içerenler.
  • Tek bir kullanıcı tarafından onaylanmış ama tenant genelinde geniş etkisi olabilecek uygulamalar.
  • Tanınmayan yayıncılar (publisher). Microsoft, Google, Atlassian gibi bilinen üreticiler değil; bireysel geliştirici adıyla yayınlananlar.
  • Eskimiş / kullanılmayan onaylar. 60+ gündür hiç erişim yapmamış ama yetkisi hâlâ açık duran uygulamalar.
OAuth grant'ın doğal yaşam döngüsü: bir kez verilir, kullanıcı ayrılır, token genellikle iptal edilmez. Bu uzun kuyruk SSO loglarına yansımaz; CenseCloud kalıntıyı haftalık ritimle yüzeye çıkarır.

Bu izleme ne için DEĞİL

OAuth izin envanteri bir içerik denetleme aracı değildir. CenseCloud uygulama içeriğini incelemez, kullanıcı verisine dokunmaz; sadece "hangi uygulama, hangi scope'la, hangi kullanıcı tarafından, ne zaman onaylanmış" sorularına cevap verir. Hakkımızda sayfasında belirttiğimiz gibi — biz veri yolunda değiliz.

Sonuç: en sessiz açık kapı

OAuth izinleri günümüzdeki en sessiz güvenlik açığı: SSO logu temiz, AD hesabı normal, uygulama "onaylı" rozetinde bile olabilir. Saldırı vektörü olmayan bu davranış, saldırı vektörüne dönüştüğünde fark edilmesi haftalar alır.

Çözüm tek seferlik bir kurulumda değil, sürekli işleyen bir denetim ritminde gizli. Üçüncü taraf risk çözümü veya platform mimarisi OAuth envanterinin nasıl çalıştığını gösterir.

İlgili yazılar
3 Haziran 2026·7 dk okuma

İşten ayrılan çalışanın SaaS hesaplarında neler kalıyor — offboarding'in görünmeyen bedeli

Bir çalışan ayrıldı, AD'de kapattınız. Ama Salesforce, Notion, GitHub'da hâlâ aktif. Sebep dağınık: SSO, lastLogon yanılması, beş kategori yerine iki. Doğru çıkış prosedürü ne olmalı?

ÇıkışKimlik
Oku
3 Haziran 2026·8 dk okuma

Shadow AI: kurum içinde gerçekten ne oluyor

ChatGPT'yi yasaklamak yetmez — çünkü çalışanlar kişisel hesaplarla, IDE eklentileriyle, CLI araçlarıyla AI'ya zaten ulaşıyor. Görünmeyen dört katman ve yönetilebilir bir merdiven.

Shadow AIAI Yönetişim
Oku
4 Haziran 2026·8 dk okuma

Tedarikçi anketi biter bitmez bayatlıyor — TPRM'i nasıl döngüsel çalıştırırsınız

Yıllık tedarikçi değerlendirmesi cevap-anında doğru, üç ay sonra geçersiz. Döngüsel TPRM'in dört adımı — değerlendirme, kanıt, sürekli izleme, bildirim — ve kritiklik ile riskin neden ayrı eksen olduğu.

Tedarikçi RiskiUyumluluk
Oku

Kendi yığınınızda nasıl çalıştığını görün

30 dakikalık canlı demo — kendi envanteriniz, kendi harcamanız, kendi ekibinizle. Sunum yok.

Demo isteyinPlatformu görün