Etiket arşivi: XSS

Türkiye

Belediyedeki zafiyetleri bulan öğrenciye kahve fincanı seti verildi

Yorum yapın

Belediyedeki zafiyetleri bulan öğrenciye kahve fincanı seti verildiTürkiye’de belediyeler ve üniversiteler gibi kamu kurumlarındaki siber güvenlik uzmanı açığı, bilgisayar sistemlerindeki zafiyetlerin uzun süre fark edilmemesine yol açıyor. Dışardan zafiyeti bulanlara ise sembolik hediyeler verilerek durum geçiştiriliyor.

Zafiyetler de siber tehdit aktörlerinin kolay saldırı düzenlemesine ve büyük veri ihlallerine sebep oluyor.

Sakarya Akyazı Belediyesi de bu durumun yaşandığı kamu kurumlarından biri. 

Bize e-posta yoluyla ulaşan lise öğrencisi Tunahan Yanıkoğlu durumu Siber Bülten’e şöyle aktardı:

“Belediyenin internet sitesinde aralık ayının ilk günlerinde bir arkadaşımla zafiyet taramaları yaptık ve 1 adet SQL Injection, 1 adet doğrulanmış XSS ve 83 adet doğrulanmamış XSS zafiyeti tespit ettik.

SQL Injection zafiyeti,  istismar edildiğinde  saldırganların tüm veri tabanına erişmesine olanak tanıyor.

Konuyu belediyeye e-posta yoluyla bildirdik ama aradan günler geçmesine rağmen yetkililer  geri bildirimde bulunmadı. Ardından belediyenin çözüm hattını arayıp güvenlik açığı hakkında bilgi verdim. 

Yetkililer konuyla ilgileneceklerini söyledi ama yine herhangi bir geri dönüş alamadık. Geçtiğimiz haftalarda belediyeden bir yetkiliye telefon ettim ve konu hakkında gelişme olup olmadığını sordum. 

BİLGİ İŞLEM: “ÖNEMLİ BİR ŞEY ŞEY YOK SORUNU ÇÖZDÜK”

“Konuyla ilgilenmesi için bilgi işlem müdürlüğünün kurulduğunu ve bilgi işlem ekibinin ‘önemli bir şey olmadığını ve sorunu çözdüklerini’ söylediklerini bana iletti. 

Veri tabanında 350’den fazla vatandaşın bütün kişisel verileri yer alıyordu ve bunun göz ardı edilmemesi gerekiyordu. Güvenlik açığının halen mevcut olduğunu kendilerine ilettiğimde bizi belediye binasına çağırdı. 

Hastaneden bug-bounty yerine komik teklif : Zafiyeti bulana ücretsiz check-up önerildi

Belediye binasına gittiğimizde bilgi işlem müdürü bizi ofislerine götürdü. Ofise girdiğimizde bilgi işlem personeli film izliyordu.Bilgi İşlem ofisinde biraz tartıştıktan sonra başkan yardımcısının ofisine geçtik. Başkan yardımcısına durumu açıkladık ve bilgi işlem ekibine açığı derhal kapatmalarını ve ardından beni arayıp kontrol ettirmeleri talimatını verdi. 

BELEDİYENİN BUG BOUNTY ÖDÜLÜ: KAHVE FİNCANI SETİ

Birkaç gün sonra bilgi işlem müdürü gerekli kontrolleri sağlamam için beni aradı ve kontrolleri yaptıktan sonra açığın halen kapanmadığını farkettim. Dosya yapısı aşırı kötüydü ve zaten siteyi tamamen yenileme planları vardı. 

Ben de bu sebeple SQL İnjection zafiyetini barındıran dosyayı silmelerinin en iyi çözüm olacağını söyledim. Birkaç kez daha açığı kapatmayı denediler fakat bir işe yaramadı.

En sonunda önerdiğim şekilde dosyayı sildiler ve açık kapandı. Ama XSS açıkları hala saldırganların istismarına açık.. Bize ödül olarak ne verdiler dersiniz? Kahve fincanı seti… 

Dijital Güvenlik

Rus fidye çeteleri Çinli hackerlarla iş birliği yapmaya başladı

Yorum yapın

Rus siber suç forumları RAMP ve XSS’de yayımlanan bazı konuşmalar Çinli tehdit aktörleriyle iş birliği çağrıları içeriyor. Uzmanlar, ABD’ye karşı iş birliği ihtimali üzerinde duruyor.

Gelişmeler, Rus bilgisayar korsanlarının iş birliği için Çinli meslektaşlarıyla iletişime geçtiğini gösteriyor.

Çinli tehdit aktörlerinin desteğini almaya yönelik bu girişimler, esas olarak, Çince konuşan aktörleri forumdaki sohbetlere katılmaya, bildikleri bazı ipuçlarını paylaşmaya ve saldırılar konusunda iş birliği yapmaya teşvik eden RAMP hack forumunda görülüyor.

RUS FORUMLARINDAKİ ÇİNLİ KULLANICILAR

Flashpoint tarafından hazırlanan yeni bir rapora göre, üst düzey kullanıcılar ve RAMP yöneticileri artık yeni forum üyeleriyle otomatik tercüme araçları vasıtasıyla Çince’de iletişim kurmaya çalışıyor.

Forumun Çin merkezli en az otuz yeni kullanıcı kaydı aldığı ortaya çıkarken, raporda bu durumun önemli bir sürecin başlangıcına olabileceği değerlendirmesine yer verildi.

Uzmanlar, bu gelişmenin Rus fidye yazılımı çetelerinin ABD hedeflerine karşı siber saldırı planlamasından kaynaklandığını düşünüyor. Buna göre, hackerlar bildikleri güvenlik açıklarını birbirleriyle paylaşmak ve fidye yazılım operasyonları için yeni yeteneklere ulaşmak için Çinli aktörlerle ittifaka yöneliyor.

Diğer yandan, bilgisayar korsanlık forumu XSS’te de benzer bir işbirliğinin sezildiğini ifade eden uzmanlar, Rus-Çin işbirliğinin tek bir forumla sınırlı olmadığını altını çiziyor.

Flashpoint’in raporunda yer alan bir görselde kendisini Çinli olarak tanıtan iki forum üyesinin XSS kullanıcısı ‘hoffman’ tarafından selamlandığı görülüyor. Çince olduğu görülen ve fidye yazılımı ve çeşitli sistem güvenlik açıklarına dair konuşmaların makine çevirisi olduğu değerlendiriliyor.

“SAYGI GEREĞİ ÇİNLİLERE İSTİSNA YAPABİLİRİZ”

Conti fidye yazılımı operasyonunun RAMP forumunda yer alan bir ilanında normalde sadece Rusça konuşanlarla çalıştıkları ancak saygı gereği Çinliler için bir istisna yapabilecekleri notu yer alıyor. İlanda RAMP forumunun Çince konuşan tehdit aktörlerini konuşmalara ve saldırılara katılmaya aktif olarak davet ettiği açıkça görülüyor.

Diğer yandan, “Orange” veya “boriselcin” olarak bilinen ve “Groove” sitesini yöneten bir RAMP yöneticisi, geçen ay tehdit aktörlerine ABD’ye saldırı düzenleme çağrısında bulunmuştu. Daha sonra ise aynı kaynaklar, çok sayıda medya organında yayınlanan çağrının başından beri sahte olduğu ve medya ile güvenlik araştırmacılarını trollemeyi ve manipüle etmeyi amaçladığını iddia etmişti. Ancak McAfee ve Intel 471 güvenlik araştırmacıları, bu iddianın sadece operasyonun başarısızlığını örtbas etmeyi amaçladığına inanıyor.

Forumun yukarıdaki gibi hedef şaşırtma hamleleri, bu kaynaktan gelen açıklamalara şüpheyle yaklaşılmasına sebep oluyor. Çinli tehdit aktörlerine yapılan davetlerin ciddi bir iş birliğinin önemli adımları mı yoksa bir hedef şaşırtma hamlesi mi olduğu henüz bilinmiyor.