Bülent Ecevit Üniversitesi öğrencisi Yusuf Nas, NASA’nın kullanıcı girişlerinde ciddi bir güvenlik açığı tespit etti. “Zero click” zafiyeti sayesinde sadece e-posta bilgisiyle başka hesaplara erişilebildiğini ortaya koyan Nas, NASA tarafından takdir mektubu ile ödüllendirildi ve onur listesine alındı.
Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği öğrencisi 22 yaşındaki Yusuf Nas, NASA’nın düzenlediği güvenlik ihlali tespit etkinliğinde önemli bir başarıya imza attı. Nas, kullanıcı girişlerinde kritik bir güvenlik açığı tespit ederek durumu raporladı. NASA, öğrenciyi takdir mektubu ile ödüllendirdi ve adını NASA Onur Listesi’ne ekleyeceğini duyurdu.
Kullanıcı Girişlerinde Hangi Açığı Buldu?
Yusuf Nas, NASA’nın Google hesabı üzerinden giriş sisteminde meydana gelen zero click account takeover olarak bilinen bir zafiyet keşfetti. Bu açık, hedef kullanıcının herhangi bir işlem yapmasına gerek kalmadan hesabına erişim sağlanabilmesini mümkün kılıyordu. Nas, “Bu zafiyet sayesinde kendi hesabınızdan başka bir hesaba geçiş yapabiliyorsunuz. Karşı tarafın herhangi bir tıklaması gerekmiyor” dedi.
NASA’nın kullanıcı sistemine kayıtlı olmayan kişiler de hesap açıp etkinliklere başvurabiliyor. Bu hesaplarda yer alan adres, telefon ve e-posta bilgileri Nas’ın tespit ettiği yöntemle kötü niyetli kişilerin eline geçebiliyordu. Google entegrasyonu kaynaklı bir yapılandırma hatası, sadece e-posta bilgisiyle kullanıcı hesaplarının ele geçirilebilmesini sağlıyordu.
Veri İhlali Nasıl Gerçekleşti?
Yusuf Nas, açıklamasında şunları söyledi:
“NASA’nın kullanıcı sisteminde Google ile giriş seçeneği mevcut. Bu sistemdeki bir hata nedeniyle sadece e-posta adresi ile başka bir hesabın bilgilerine ulaşabiliyordum. Örneğin ben Yusuf’um ama Ahmet’in hesabına girip tüm bilgilerini görebiliyorum. Bu durum ciddi bir veri ihlali anlamına geliyor.”
Zafiyetin, hedef kullanıcının herhangi bir etkileşimde bulunmasına gerek kalmadan hesaplarına erişim sağlayabilmesi, konunun önemini artırıyor.
Yusuf Nas, açığı tespit ettikten sonra 3 ay boyunca NASA uzmanlarıyla raporlama sürecini yürüttü. Bu süreçte zafiyetin doğruluğu incelendi, ek bilgiler talep edildi ve güvenlik açığı onaylandı. Nas, “Raporlama süreci boyunca yaz tatilim boyunca stajdan sonra bile ek bilgiler gönderdim. Her detay kontrol edildi ve sonunda zafiyet giderildi” dedi.
Ödül Avcılığına Devam Edecek mi?
Web güvenliği ve bug bounty alanına ilgisi olduğunu belirten Nas, Türkiye’de bu programı uygulayan sayısının az olduğunu söyledi. Yusuf Nas, “Yeni sistemler, web3, kriptoloji ve yapay zekâ güvenliği üzerine çalışarak bu alanda daha uzmanlaşmayı hedefliyorum. Başarılı olmak için sadece istemek yetmiyor, sürekli çalışmak gerekiyor” dedi.
Nas, önümüzdeki dönemde de ödül avcılığı yaparak, uluslararası güvenlik açıklarını tespit etmeye devam edecek.
Türkiye’den İlkler Arasında
Bülent Ecevit Üniversitesi öğrencisi olarak NASA’nın açığını bulan Yusuf Nas, ülkemizden bu alanda ses getiren bir başarıya imza atarak genç güvenlik araştırmacıları için örnek oldu. Bu gelişme, Türkiye’de web güvenliği ve bug bounty alanındaki çalışmaların önemini bir kez daha gözler önüne serdi.