Türk genci 2 günde çözdü! Snapchat’in açığını buldu, para mükafatını kaptı

Türk genci 2 günde çözdü! Snapchat’in açığını buldu, para mükafatını kaptı

Gonca Kocabaş / Milliyet.com.tr – Bursa’da yaşayan ve Eskişehir Osmangazi Üniversitesi istatistik kısmı mezunu olan 24 yaşındaki Hüseyin Tıntaş, 2013 yılından beri yazılım ve siber güvenlikle ilgileniyor. Bir süredir yazılım geliştirme alanında çalışan Tıntaş siber güvenlik haberlerini takip edip yeni çıkan gelişmeleri, eserleri test ortamında deneyimliyor. Özgür yazılımı destekliyor ve özgür yazılım topluluklarına katkıda bulunuyor. Güvenlik açıklarının bulunup firmalara bildirildiği ödül avcılığı sistemi olan ‘Bug Bounty’ ise özel ilgi alanı. 

‘HER HAFTA BİR OYUNCAK PARÇALAYIP ÇALIŞMA PRENSİBİNE BAKARDIM’

Hüseyin Tıntaş daha çocuk yaşlarındayken ailesinin kendisine aldığı oyuncakların içini açıp, nasıl çalıştığını merak eden bir çocuktu. İnatla her hafta yeni bir oyuncak parçalayıp çalışma prensibini anlamaya çalışan Hüseyin, şimdilerde bu alana duyduğu ilginin temellerinin, çocukluğuna dayandığını söylüyor.

Siber güvenlik merak, araştırma duygusu ve analitik düşünme üzerine konseyi bir kesim. Güvenlik testi yapılan bir sistemi nasıl çalıştığını bilmek gerekiyor. Birtakım noktalarda bulmaca çözer üzere adım adım kesimleri birleştirmenin yararlı olduğuna değinen Hüseyin Tıntaş, “Dünyaca ünlü birçok firmada güvenlik açığı bulup bildirdim. Doğal ki ülkemize ilişkin kurumlarda, belediyelerde ve markalarda da yüzlerce güvenlik açığı bulup bunların kapatılmasını sağladım” deyip Snapchat’in açığını nasıl bulduğunu şu sözlerle anlattı:

“Snapchat’in web uygulaması üzerinde, kayıtlı kullanıcıların bilgileri üzerinde değişiklikler yapılabiliyor ve bunlar halka açık olarak görüntülenebiliyordu. Öncelikle yaklaşık bir hafta inceleyerek her yerini taradım. Daha sonra bir zafiyeti fark ettim ve iki gün üzere bir müddette zafiyetin üzerine giderek süreci tamamlayıp güvenlik açığını bildirdim. Bunun karşılığında da 1500 dolar para mükafatı aldım.”

‘YERLİ VE YABANCI BİRÇOK KURUMUN AÇIKLARINI BULDUM’

“Daha evvel, Instagram, Facebook, Snapchat, Whatsapp, Riot Games, Shopify ve ismini veremeyeceğim birçok yerli kurumumuzda da güvenlik açığı bulup buradaki yanlışların giderilmesini sağladım” diyen Tıntaş, “Firmaların isimlerini tek tek yazmaktan fazla burada şuna değinebilirim: Yurt dışı merkezli firmalar güvenliğine çizgi safhada kıymet verip, en ufak bir güvenlik açığı karşısında bile ziyadesiyle ödül veriyor. Ülkemizdeki firmalardan da tıpkı tavır ve davranışları bekliyoruz” yorumunda bulundu.

Bilgi güvenliği için firmaların nasıl tedbirler almaları gerektiği konusunda da bilgi paylaşan Hüseyin, “Düzenli güvenlik taramaları ve güncellemeler yaparak sistemlerini müdafaaya almalı ve çalışanlarına siber güvenlik konusunda eğitimler vererek farkındalığı artırmalılar. İki faktörlü kimlik doğrulama ve şifreleme metotlarını kullanarak bilgilerin korunmasını sağlamalılar. Unutmayalım ki sistem ne kadar inançlı olursa olsun, inançsız olan ebediyen insandır” dedi.

‘SİBER GÜVENLİK DEDİĞİMDE SİLAHLI MI SİLAHSIZ MI DİYORLARDI’

Gelişen teknolojiyle birlikte mesleğini açıklamanın günden güne kolaylaştığına dikkat çeken Hüseyin Tıntaş, “Geçtiğimiz yıllarda siber güvenlik yahut yazılım departmanının ne iş yaptığını açıklamak durumunda kalıyordum. Evvelden ‘Siber güvenlikle ilgileniyorum’ dediğimde ‘Silahlı mı, silahsız mı?’ üzere komik sorularla karşılaşabiliyordum. Artık herkesin bu dallara dair bir sorunu yahut bir sorusu olabiliyor. Ama hâlâ toplumda bakış açısı değişmiş değil, kalıp niyetler devam ediyor. En güzel firmada, en güzel güvenlik mühendisi de olsanız, ailenizin ve arkadaş etrafınızın formatçısı olmaktan ne yazık ki kurtulamıyorsunuz” açıklamasında bulundu.

Hüseyin Tıntaş günümüzde karşılaşılan siber güvenlik ihlallerine neden olan 7 nedeni ise şöyle sıraladı:

– Zayıf şifreler: Kolay iddia edilebilir ve kolay şifreler, siber saldırganların hesaplara erişmesine ve bilgilere ziyan vermesine yol açabilir.

– Yazılım güncellemelerinin ihmal edilmesi: Eski yazılımlar güvenlik açıkları içerebilir ve bu da siber saldırganların sisteme sızmasını kolaylaştırır.

– İnsan kusuru: Çalışanların kazara hassas dataları sızdırması, makus niyetli ilişkilere tıklaması yahut bilgileri korumak için kâfi tedbirler almaması.

– Toplumsal mühendislik ve phishing hücumları: Kullanıcıları kandırarak şahsî bilgilerini ve şifrelerini ele geçiren siber dolandırıcılık yolları.

– Zayıf ağ güvenliği: İnançsız ağ yapılandırmaları ve güvenlik tedbirlerinin eksikliği, saldırganların ağa erişmesini ve bilgi ihlallerine neden olmasını kolaylaştırır.

– İç tehditler: Şirket içindeki makus niyetli çalışanlar yahut iş ortakları, hassas bilgilere erişebilir ve siber güvenlik ihlallerine yol açabilir.

– Malware ve ransomware: Ziyanlı yazılımlar ve fidye yazılımları, aygıtlara ve ağlara sızarak datalara ziyan verebilir ve fidye taleplerine yol açabilir.

‘KARMAŞIK VE EŞSİZ ŞİFRELER KULLANIN’

Sosyal mühendislik ve phishing (oltalama) taarruzlarına karşı nasıl korunulabileceği hakkında bilgiler veren Tıntaş, bireylerin eğitilmesinin bu çeşit tehditleri önlemeye yardımcı olabileceğine dikkat çekti. Hüseyin Tıntaş birebir vakitte, “E-posta gönderenin kimliğini doğrulayın ve beklenmedik temaslar, ekler yahut talepler içeren e-postalara karşı dikkatli olun. Aygıtlarınızda şimdiki antivirüs ve güvenlik yazılımları kullanarak, phishing akınlarını ve ziyanlı yazılımları tespit etmeye yardımcı olabilirsiniz. Hesaplarınız için iki faktörlü kimlik doğrulama (2FA) kullanarak, makus niyetli şahısların hesaplarınıza erişmesini zorlaştırın. E-posta yahut toplumsal medya bildirilerinde bulunan kuşkulu irtibatlara tıklamamak, sizi phishing taarruzlarından koruyacaktır” diyerek şunları da ekledi:

“Açık yahut inançsız Wi-Fi ağlarına bağlanırken dikkatli olun, bu ağlar üzerinden yapılan süreçler saldırganlar tarafından izlenebilir ve ele geçirilebilir. Uygulamaları sırf güvendiğiniz kaynaklardan (Google Play Store, Apple App Store vb.) indirin ve bilinmeyen kaynaklardan gelen uygulamalardan kaçının. Bilgilerinizi nizamlı olarak yedekleyerek, atak durumunda değerli bilgilerinizi geri yükleyebilirsiniz. Karmaşık ve eşsiz şifreler kullanarak hesaplarınızın güvenliğini artırın ve şifrelerinizi tertipli olarak değiştirin.”

SİBER GÜVENLİK ALANINDA HANGİ GELİŞMELER YAŞANACAK?

Gelecekteki birtakım siber güvenlik alanındaki teknolojik gelişmelerin de altını çizen Hüseyin Tıntaş, Yapay Zeka (AI) ve Makine Tahsili (ML), siber güvenlik tahlillerini geliştirmek için kullanılacaktır. Olağandışı davranışları ve güvenlik ihlallerini daha süratli tespit etmeye yardımcı olacaklardır. Blockchain, emniyetli ve şeffaf data saklama ve paylaşma sağlayarak, bilgi manipülasyonu ve sahteciliğini önlemeye yardımcı olacaktır. Nesnelerin İnterneti (IoT) cihazlarının sayısı arttıkça, bu aygıtları korumak için gelişmiş güvenlik tahlilleri ve protokoller geliştirilecektir. Sızma testi ve otomasyon, gelişmiş sızma testi araçları ve otomasyon teknolojileri, güvenlik açıklarının tespitini ve düzeltilmesini daha süratli ve tesirli hale getirecektir. Bulut hizmetlerinin yaygınlaşmasıyla birlikte de, bulut tabanlı güvenlik tahlilleri ve idare araçları kıymet kazanacaktır. Ayrıyeten ülkeler ve şirketler ortasında siber güvenlik tehditlerine karşı bilgi paylaşımı ve iş birliği artacaktır” notunu düştü.

Gündem