Türk genci Snapchat’in açığını buldu, para ödülünü kaptı
Yerli, yabancı fark etmeksizin pek çok büyük firmada dahi güvenlik açıkları olabiliyor. Aylık 750 milyonun üzerinde aktif kullanıcıya sahip olan Snapchat'in bugüne kadar kimsenin fark etmediği güvenlik açığını bulan 24 yaşındaki Hüseyin Tıntaş para ödülü aldı.
1-9
Bursa'da yaşayan ve Eskişehir Osmangazi Üniversitesi istatistik bölümü mezunu olan 24 yaşındaki Hüseyin Tıntaş, 2013 yılından beri yazılım ve siber güvenlikle ilgileniyor. Bir süredir yazılım geliştirme alanında çalışan Tıntaş siber güvenlik haberlerini takip edip yeni çıkan gelişmeleri, ürünleri test ortamında deneyimliyor. Özgür yazılımı destekliyor ve özgür yazılım topluluklarına katkıda bulunuyor. Güvenlik açıklarının bulunup firmalara bildirildiği ödül avcılığı sistemi olan 'Bug Bounty' ise özel ilgi alanı.
2-9
'HER HAFTA BİR OYUNCAK PARÇALAYIP ÇALIŞMA PRENSİBİNE BAKARDIM'
Hüseyin Tıntaş daha çocuk yaşlarındayken ailesinin kendisine aldığı oyuncakların içini açıp, nasıl çalıştığını merak eden bir çocuktu. İnatla her hafta yeni bir oyuncak parçalayıp çalışma prensibini anlamaya çalışan Hüseyin, şimdilerde bu alana duyduğu ilginin temellerinin, çocukluğuna dayandığını söylüyor.
3-9
Siber güvenlik merak, araştırma duygusu ve analitik düşünme üzerine kurulu bir sektör. Güvenlik testi yapılan bir sistemi nasıl çalıştığını bilmek gerekiyor. Bazı noktalarda bulmaca çözer gibi adım adım parçaları birleştirmenin faydalı olduğuna değinen Hüseyin Tıntaş, “Dünyaca ünlü birçok firmada güvenlik açığı bulup bildirdim. Tabii ki ülkemize ait kurumlarda, belediyelerde ve markalarda da yüzlerce güvenlik açığı bulup bunların kapatılmasını sağladım” deyip Snapchat’in açığını nasıl bulduğunu şu sözlerle anlattı:
"Snapchat’in web uygulaması üzerinde, kayıtlı kullanıcıların bilgileri üzerinde değişiklikler yapılabiliyor ve bunlar halka açık olarak görüntülenebiliyordu. Öncelikle yaklaşık bir hafta inceleyerek her yerini taradım. Daha sonra bir zafiyeti fark ettim ve iki gün gibi bir sürede zafiyetin üzerine giderek süreci tamamlayıp güvenlik açığını bildirdim. Bunun karşılığında da 1500 dolar para ödülü aldım."
4-9
‘YERLİ VE YABANCI BİRÇOK KURUMUN AÇIKLARINI BULDUM’
“Daha önce, Instagram, Facebook, Snapchat, Whatsapp, Riot Games, Shopify ve ismini veremeyeceğim birçok yerli kurumumuzda da güvenlik açığı bulup buradaki hataların giderilmesini sağladım” diyen Tıntaş, “Firmaların isimlerini tek tek yazmaktan ziyade burada şuna değinebilirim: Yurt dışı merkezli firmalar güvenliğine hat safhada önem verip, en ufak bir güvenlik açığı karşısında bile fazlasıyla ödül veriyor. Ülkemizdeki firmalardan da aynı tutum ve davranışları bekliyoruz” yorumunda bulundu.
5-9
Bilgi güvenliği için firmaların nasıl önlemler almaları gerektiği konusunda da bilgi paylaşan Hüseyin, “Düzenli güvenlik taramaları ve güncellemeler yaparak sistemlerini korumaya almalı ve çalışanlarına siber güvenlik konusunda eğitimler vererek farkındalığı artırmalılar. İki faktörlü kimlik doğrulama ve şifreleme yöntemlerini kullanarak verilerin korunmasını sağlamalılar. Unutmayalım ki sistem ne kadar güvenli olursa olsun, güvensiz olan daima insandır” dedi.
6-9
'SİBER GÜVENLİK DEDİĞİMDE SİLAHLI MI SİLAHSIZ MI DİYORLARDI'
Gelişen teknolojiyle birlikte mesleğini açıklamanın günden güne kolaylaştığına dikkat çeken Hüseyin Tıntaş, “Geçtiğimiz yıllarda siber güvenlik veya yazılım departmanının ne iş yaptığını açıklamak durumunda kalıyordum. Önceden 'Siber güvenlikle ilgileniyorum' dediğimde 'Silahlı mı, silahsız mı?' gibi komik sorularla karşılaşabiliyordum. Artık herkesin bu sektörlere dair bir problemi veya bir sorusu olabiliyor. Fakat hâlâ toplumda bakış açısı değişmiş değil, kalıp düşünceler devam ediyor. En iyi firmada, en iyi güvenlik mühendisi de olsanız, ailenizin ve arkadaş çevrenizin formatçısı olmaktan ne yazık ki kurtulamıyorsunuz” açıklamasında bulundu.
7-9
Hüseyin Tıntaş günümüzde karşılaşılan siber güvenlik ihlallerine neden olan 7 nedeni ise şöyle sıraladı:
- Zayıf şifreler: Kolay tahmin edilebilir ve basit şifreler, siber saldırganların hesaplara erişmesine ve verilere zarar vermesine yol açabilir.
- Yazılım güncellemelerinin ihmal edilmesi: Eski yazılımlar güvenlik açıkları içerebilir ve bu da siber saldırganların sisteme sızmasını kolaylaştırır.
- İnsan hatası: Çalışanların yanlışlıkla hassas verileri sızdırması, kötü niyetli bağlantılara tıklaması veya bilgileri korumak için yeterli önlemler almaması.
- Sosyal mühendislik ve phishing saldırıları: Kullanıcıları kandırarak kişisel bilgilerini ve şifrelerini ele geçiren siber dolandırıcılık yöntemleri.
- Zayıf ağ güvenliği: Güvensiz ağ yapılandırmaları ve güvenlik önlemlerinin eksikliği, saldırganların ağa erişmesini ve veri ihlallerine neden olmasını kolaylaştırır.
- İç tehditler: Şirket içindeki kötü niyetli çalışanlar veya iş ortakları, hassas verilere erişebilir ve siber güvenlik ihlallerine yol açabilir.
- Malware ve ransomware: Zararlı yazılımlar ve fidye yazılımları, cihazlara ve ağlara sızarak verilere zarar verebilir ve fidye taleplerine yol açabilir.
8-9
'KARMAŞIK VE BENZERSİZ ŞİFRELER KULLANIN'
Sosyal mühendislik ve phishing (oltalama) saldırılarına karşı nasıl korunulabileceği hakkında bilgiler veren Tıntaş, kişilerin eğitilmesinin bu tür tehditleri önlemeye yardımcı olabileceğine dikkat çekti. Hüseyin Tıntaş aynı zamanda, “E-posta gönderenin kimliğini doğrulayın ve beklenmedik bağlantılar, ekler veya talepler içeren e-postalara karşı dikkatli olun. Cihazlarınızda güncel antivirüs ve güvenlik yazılımları kullanarak, phishing saldırılarını ve zararlı yazılımları tespit etmeye yardımcı olabilirsiniz. Hesaplarınız için iki faktörlü kimlik doğrulama (2FA) kullanarak, kötü niyetli kişilerin hesaplarınıza erişmesini zorlaştırın. E-posta veya sosyal medya mesajlarında bulunan şüpheli bağlantılara tıklamamak, sizi phishing saldırılarından koruyacaktır” diyerek şunları da ekledi:
“Açık veya güvensiz Wi-Fi ağlarına bağlanırken dikkatli olun, bu ağlar üzerinden yapılan işlemler saldırganlar tarafından izlenebilir ve ele geçirilebilir. Uygulamaları yalnızca güvendiğiniz kaynaklardan (Google Play Store, Apple App Store vb.) indirin ve bilinmeyen kaynaklardan gelen uygulamalardan kaçının. Verilerinizi düzenli olarak yedekleyerek, saldırı durumunda önemli bilgilerinizi geri yükleyebilirsiniz. Karmaşık ve benzersiz şifreler kullanarak hesaplarınızın güvenliğini artırın ve şifrelerinizi düzenli olarak değiştirin.”
9-9