''Ödül avcısı'' üniversite öğrencisi, NASA'nın güvenlik açığını buldu
Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği Bölümü öğrencisi Yusuf Nas (22), NASA'nın güvenlik açığını tespit etti. NASA tarafından, ''Takdir mektubu'' ile ödüllendirilen Nas’a aynı zamanda NASA’nın onur listesine de gireceği bildirildi.
Zonguldak Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği 4’üncü sınıf öğrencisi Yusuf Nas, NASA’nın açtığı güvenlik ihlali tespit etkinliğine katıldı. 2 aylık çalışma sonucu, Nas, NASA’nın Google hesabı ile kullanıcı girişlerinde güvenlik ihlali olduğunu tespit etti.
Sadece mail adresinin bilinmesiyle başka hiçbir işleme gerek kalmadan farklı bir kullanıcının hesabına geçiş yapabildiğini fark eden Nas, durumu NASA’ya rapor etti. 3 ay boyunca NASA uzmanlarına rapor yazarak destek olan Nas’ın tespit ettiği zafiyet giderildi. NASA ise Yusuf Nas’a takdir mektubu gönderdi ve isminin 'NASA Onur Listesi'ne yazılacağı bildirildi.
VERİ İHLALİ
Hedef kişinin herhangi bir tıklama yapmadan sadece mail adresi bilgisiyle hesabının çalınmasını sebep olan ‘zero click account takeover’ olarak bilinen bir zafiyet belirlediğini anlatan Yusuf Nas, "Bu zafiyet, kendi hesabınızdan başka bir hesaba geçiş yapmanızı sağlıyor. ‘Zero click’ de bu zafiyetin kritik nedenlerinden bir tanesi. ‘Zero click’ karşıdaki kullanıcının herhangi bir tıklamaya gerek kalmadan hesabının çalınması olarak değerlendiriliyor. Bu zafiyette karşıdaki kullanıcı ile herhangi bir etkileşime geçmek gerekmiyor. NASA’nın kendi kullanıcı sistemi var. Bu kullanıcı sisteminde NASA çalışanı olmayan ama NASA’nın sistemlerinde gezmek isteyen kullanıcılar, hesap oluşturabiliyor. Bu hesapla da NASA’nın etkinliklerine başvuruda bulunabiliyor. Örneğin NASA’nın Amerika’da bir etkinliği olacak, bu hesabı açmadan başvuramıyorsunuz. Bu hesabı açtığınızda da bu etkinliğe başvuru yapabiliyorsunuz. Profilinizde adres bilgileriniz, telefon bilgileriniz mail adresiniz gibi her bilginiz olduğu için bu hesabı çalabilen kullanıcı bu verilere erişim sağlıyor. Zafiyet de burada oluşuyor. NASA'nın sisteminde Google ile giriş yapma seçeneği de var. Google'ın kendi konfigürasyon ayarında bir bozukluk olduğu için ben sadece mail adresini bildiğim hesaba giriş yapabiliyorum. Örneğin ben Yusuf’um ama Ahmet adlı kullanıcının hesabına giriş yapabiliyorum. Bu hesabın tüm bilgilerini görebiliyorum. Bu da veri ihlaline giriyor” dedi.
SÜREÇ 5 AY SÜRDÜ
Haziran ayına kadar 2 ay çalışıp açığı tespit edip bildirdiğini söyleyen Nas, "3 aylık bir süreçten sonra bana bir takdir mektubu verdiler ve onur listesine ekleyeceklerini bildirdiler. 3 aylık süreçte önce zafiyeti bildiriyorsunuz, ondan sonra NASA’nın bir çalışanı bu zafiyeti inceliyor. Bu zafiyet onaylı bir zafiyetse süreciniz burada başlıyor. Daha sonra ek bilgiler isteniyor, ‘Zafiyeti nasıl oluşturdunuz, nasıl kapatabiliriz, bu zafiyetin etkisi nedir’ gibi. Siz bunların hepsini karşı tarafa bildiriyorsunuz, karşı taraf bazen bu zafiyetleri kapatıp diyor ki, ‘Kontrol eder misiniz, zafiyet kapandı mı?’ Siz de aynı yöntemle test ediyorsunuz. Onlar da onaylayıp bu raporu genel olarak kapatıyorlar. Benim de sürecim 3 ay sürdü. Haziran sonlarından Eylül’ün 2’nci haftasında sonuçlandı" diye konuştu.