Türkiye’de belediyeler ve üniversiteler gibi kamu kurumlarındaki siber güvenlik uzmanı açığı, bilgisayar sistemlerindeki zafiyetlerin uzun süre fark edilmemesine yol açıyor. Dışardan zafiyeti bulanlara ise sembolik hediyeler verilerek durum geçiştiriliyor.
Zafiyetler de siber tehdit aktörlerinin kolay saldırı düzenlemesine ve büyük veri ihlallerine sebep oluyor.
Sakarya Akyazı Belediyesi de bu durumun yaşandığı kamu kurumlarından biri.
Bize e-posta yoluyla ulaşan lise öğrencisi Tunahan Yanıkoğlu durumu Siber Bülten’e şöyle aktardı:
“Belediyenin internet sitesinde aralık ayının ilk günlerinde bir arkadaşımla zafiyet taramaları yaptık ve 1 adet SQL Injection, 1 adet doğrulanmış XSS ve 83 adet doğrulanmamış XSS zafiyeti tespit ettik.
SQL Injection zafiyeti, istismar edildiğinde saldırganların tüm veri tabanına erişmesine olanak tanıyor.
Konuyu belediyeye e-posta yoluyla bildirdik ama aradan günler geçmesine rağmen yetkililer geri bildirimde bulunmadı. Ardından belediyenin çözüm hattını arayıp güvenlik açığı hakkında bilgi verdim.
Yetkililer konuyla ilgileneceklerini söyledi ama yine herhangi bir geri dönüş alamadık. Geçtiğimiz haftalarda belediyeden bir yetkiliye telefon ettim ve konu hakkında gelişme olup olmadığını sordum.
BİLGİ İŞLEM: “ÖNEMLİ BİR ŞEY ŞEY YOK SORUNU ÇÖZDÜK”
“Konuyla ilgilenmesi için bilgi işlem müdürlüğünün kurulduğunu ve bilgi işlem ekibinin ‘önemli bir şey olmadığını ve sorunu çözdüklerini’ söylediklerini bana iletti.
Veri tabanında 350’den fazla vatandaşın bütün kişisel verileri yer alıyordu ve bunun göz ardı edilmemesi gerekiyordu. Güvenlik açığının halen mevcut olduğunu kendilerine ilettiğimde bizi belediye binasına çağırdı.
Hastaneden bug-bounty yerine komik teklif : Zafiyeti bulana ücretsiz check-up önerildi
Belediye binasına gittiğimizde bilgi işlem müdürü bizi ofislerine götürdü. Ofise girdiğimizde bilgi işlem personeli film izliyordu.Bilgi İşlem ofisinde biraz tartıştıktan sonra başkan yardımcısının ofisine geçtik. Başkan yardımcısına durumu açıkladık ve bilgi işlem ekibine açığı derhal kapatmalarını ve ardından beni arayıp kontrol ettirmeleri talimatını verdi.
BELEDİYENİN BUG BOUNTY ÖDÜLÜ: KAHVE FİNCANI SETİ
Birkaç gün sonra bilgi işlem müdürü gerekli kontrolleri sağlamam için beni aradı ve kontrolleri yaptıktan sonra açığın halen kapanmadığını farkettim. Dosya yapısı aşırı kötüydü ve zaten siteyi tamamen yenileme planları vardı.
Ben de bu sebeple SQL İnjection zafiyetini barındıran dosyayı silmelerinin en iyi çözüm olacağını söyledim. Birkaç kez daha açığı kapatmayı denediler fakat bir işe yaramadı.
En sonunda önerdiğim şekilde dosyayı sildiler ve açık kapandı. Ama XSS açıkları hala saldırganların istismarına açık.. Bize ödül olarak ne verdiler dersiniz? Kahve fincanı seti…
