Tüm dünyada olduğu gibi çeşitli sistem veya networklerde olabilecek güvenlik zafiyetlerinin, kötü niyetli hackerlar tarafından istismar edilmeden önce bulan, bulduğu zafiyeti ilgili kuruma ileten ve oluşabilecek maddi manevi kaybı en aza indirgemede yardımcı olan kişilere etik hacker ismi veriliyor.
Güvenlik zafiyeti arayan, özellikle devlet kurumlarındaki zafiyetleri tespit ederek aynı zamanda toplumu koruma misyonuyla hareket eden etik hackerlar, maddi kazançlarını veya prestijlerini, ilgili zafiyetler neticesinde elde ettikleri ödüllerle ve yine ilgili zafiyetler ile alakalı yayımladıkları teknik makalelerle elde ediyorlar.
Türkiye’de siber güvenlik araştırmacısı ve etik hacker olan Utku Şen, Türkiye’deki hastane zincirlerinden birinde keşfettiği zafiyeti ve yaşadığı olayları anlattığı blog yazısı birçok durumu gözler önüne serdi.
ÜCRETSİZ CHECK-UP TEKLİF EDİLDİ!
Bir siber güvenlik araştırmacısı ve etik hacker olarak zaman zaman çeşitli platformlarda güvenlik zafiyeti aradığını söyleyen Utku Şen, Türkiye’deki büyük hastaneler zincirinin birinin internet sitesinde bir güvenlik zafiyeti keşfetti. Keşfettiği zafiyetin hastane tarafından kapatıldığını belirten Şen, kendine ait blog sayfasında zafiyetle ilgili teknik rapor yayımladı. Şen ayrıca, teknik raporları yayımlayana kadar geçen sürede yaşadığı zorluklara da sayfasında yer verdi.
Uzun çabalar sonucu keşfettiği zafiyeti hastaneye bildiren Utku Şen, yapılan incelemelerden sonra zafiyetin kapatıldığını belirtiyor. Hastane yetkilileri tarafından kendisine keşfettiği zafiyet karşılığında ödül olarak ‘ücretsiz check-up’ teklif edildiğini ancak bu ‘komik’ teklifi reddettiğini ifade eden Şen, bunun yanı sıra hastane yetkililerinin teknik makale yazmasına da karşı çıktığını belirtiyor.
Hukuki olarak hastanenin böyle bir hakkı olduğunu ‘üzülerek’ kabul eden Şen, bir etik hacker olarak ödül ve prestij kazanımının önüne geçen bu yaklaşımın ‘etik’ olmadığını ifade ediyor.
ŞEN’İN KEŞFETTİĞİ GÜVENLİK ZAFİYETİ
Hukuki olarak isim veremediği için “Sıhhat Bahçesi” olarak adlandırdığı hastanenin internet sitesine giren Şen, tahlil sonuçlarına bakmak için ziyaret ettiği sayfada, kişilerden TC kimlik numarasının istendiği bir form olduğunu, kimlik numarası girildikten sonra bir request oluştuğunu, işlem sonrası ise SMS onay koduyla bir doğrulama yapıldığını söylüyor. SMS kodu doğru girildiği takdirde tahlil sonuçlarının göründüğünü belirtiyor.
TC kimlik numarasını forma girdikten sonra Burp Suite kullanarak gelen response’a bakan Şen, kodun response içerisinde göründüğünü, yani telefona gelen SMS kodunun işlevinin ortadan kalktığını söylüyor. Böylelikle kötü niyetli hackerlar, halihazırda sızdırılmış TC kimlik numaralarını kullanıp kişilerin tahlil sonuçlarına ulaşabiliyor.
Bunun yanı sıra Şen, hastanenin internet sitesinde zaman kısıtlaması veya CAPTCHA gibi çeşitli korumalar bulunmadığını ve bu zafiyetler bulunmasa bile TC kimlik numarası bilinen bir hastanın SMS kodu brute-force yöntemiyle kolayca bulunup tahlil sonuçlarına erişilebildiğini söylüyor.
Utku Şen’in bulduğu güvenlik zafiyetiyle ilgili rapora ve yazıya ulaşmak için kendi blog sitesini ziyaret edebilirsiniz.
