Gündem

HGS’nin hack’lenmesi skandalı... PTT HGS skandalında ‘cleartext’ detayı

Telefonunda PTT’nin HGS uygulaması olan kullanıcılara küfür içerikli mesajlar ve bildirimler yollanması ortalığı karıştırmıştı. Olayı Samimi Haber’e değerlendiren Siber Güvenlik Uzmanı Ahmet Yoldakalan; “Yetkisiz erişim fark edildikten sonra hızlı bir müdahale ve zarar sınırlama süreçleri yetersiz kaldı. Kurum güvenlik denetimleri eksik” dedi.

Abone Ol

MERT SAYAN – HABER MERKEZİ

Milyonlarca kişi tarafından cep telefonlarında kullanılan PTT’nin Hızlı Geçiş Sistemi (HGS) uygulamasında kullanıcılara küfür içerikli mesajlar gönderilmesi ortalığı karıştırmıştı. Siber güvenlik uzmanlarından üst üste uyarılar geldi. Siber Güvenlik Uzmanı Ahmet Yoldakalan, kurumun güvenlik denetimlerinin eksik olduğunu söyledi.

Önceki gün yaşanan siber-skandalda, korsanlar, HGS sistemi üzerinden küfürlü mesajlar göndermenin yanı sıra, kripto para da istemişti, hatta bunun için tehditte bulunmuştu. 

HGS kullanıcılarına küfür içerikli para isteyen çeşitli mesajların gönderilmesinin nedenini anlatan Ahmet Yoldakalan; “KEY'in (anahtar) saldırganlar tarafından ele geçirilmesi ve sanki HGS'nin yetkili bir kullanıcısıymış gibi tüm kullanıcılara bildiri gönderilmesine olanak sunmasına sebep olmuştur” diye ifade etti.

HGS uygulamasının ana sunucuları ve veri tabanlarının ele geçirilmemiş durumda olduğuna dikkat çeken Yoldakalan, şu şekilde konuştu:

“Üçüncü taraf bir servis olan ‘OneSignal’ üzerinden istismar edilen bir durum diyebiliriz. Yaşanılan durumu da teknik anlamda anlatmak biraz kafa karışıklığına sebebiyet verebilir. Çok basitçe anlatılmak istenirse, önemli olan bilgilerin ‘cleartext’ dediğimiz yöntemle saklanmış olması ve saldırganların bu yanlış yapılandırmayı istismar etmesi diyebiliriz”. 

“Kurum güvenlik denetimleri eksik”

 Yoldakalan, iki uygulamanın birbiriyle konuşmasına olanak tanıyan bir yazılım aracısı olan ‘Application Programming Interface’ (API) anahtarlarının korunması konusunda ciddi eksikler olduğunu vurgularken, olayın yine buradan meydana geldiğinden bahsetti. Ayrıca, yetkisiz erişim fark edildikten sonra, hızlı bir müdahale ve zarar sınırlama süreci başlatıldığının ancak yetersiz kaldığının altını çizen Yoldakalan; “Bu tür vakalarda olay tespiti ve bu minvalde atılacak adımlarla ilgili kurum içi politika ve prosedürlerin işletiliyor olması gerekiyor. Kurum güvenlik denetimleri eksik” dedi. 

“Kişisel veri kaybının olduğunu düşünmüyorum”

Kullanıcıların özellikle tehdit içeren veya ödeme talep eden mesajlara karşı dikkatli olması ve asla harekete geçmemesi gerektiğinin altını çizen Siber Güvenlik Uzmanı Ahmet Yoldakalan;  “Kişisel veri kaybının olduğunu düşünmüyorum. Sunucu, veri tabanı hacklenmesi gibi durumlar olsaydı etkisi çok daha farklı olurdu. Tavsiye olarak da en son, böyle bir olay sonrası kullanıcılarla hızlı ve şeffaf bir iletişim kurulması gerekir ve aynı zamanda kullanıcılara hangi adımları atmaları gerektiği açıkça belirtilmeli” ifadelerini kullandı.