Türk genci 2 günde çözdü! Snapchat’in açığını buldu, para mükafatını kaptı

Gonca Kocabaş / Milliyet.com.tr – Bursa’da yaşayan ve Eskişehir Osmangazi Üniversitesi istatistik kısmı mezunu olan 24 yaşındaki Hüseyin Tıntaş, 2013 yılından beri yazılım ve siber güvenlikle ilgileniyor. Bir süredir yazılım geliştirme alanında çalışan Tıntaş siber güvenlik haberlerini takip edip yeni çıkan gelişmeleri, eserleri test ortamında deneyimliyor. Özgür yazılımı destekliyor ve özgür yazılım topluluklarına katkıda bulunuyor. Güvenlik açıklarının bulunup firmalara bildirildiği ödül avcılığı sistemi olan ‘Bug Bounty’ ise özel ilgi alanı. 

‘HER HAFTA BİR OYUNCAK PARÇALAYIP ÇALIŞMA PRENSİBİNE BAKARDIM’

Hüseyin Tıntaş daha çocuk yaşlarındayken ailesinin kendisine aldığı oyuncakların içini açıp, nasıl çalıştığını merak eden bir çocuktu. İnatla her hafta yeni bir oyuncak parçalayıp çalışma prensibini anlamaya çalışan Hüseyin, şimdilerde bu alana duyduğu ilginin temellerinin, çocukluğuna dayandığını söylüyor.

Siber güvenlik merak, araştırma duygusu ve analitik düşünme üzerine şurası bir bölüm. Güvenlik testi yapılan bir sistemi nasıl çalıştığını bilmek gerekiyor. Birtakım noktalarda bulmaca çözer üzere adım adım kesimleri birleştirmenin yararlı olduğuna değinen Hüseyin Tıntaş, “Dünyaca ünlü birçok firmada güvenlik açığı bulup bildirdim. Natürel ki ülkemize ilişkin kurumlarda, belediyelerde ve markalarda da yüzlerce güvenlik açığı bulup bunların kapatılmasını sağladım” deyip Snapchat’in açığını nasıl bulduğunu şu sözlerle anlattı:

“Snapchat’in web uygulaması üzerinde, kayıtlı kullanıcıların bilgileri üzerinde değişiklikler yapılabiliyor ve bunlar halka açık olarak görüntülenebiliyordu. Öncelikle yaklaşık bir hafta inceleyerek her yerini taradım. Daha sonra bir zafiyeti fark ettim ve iki gün üzere bir müddette zafiyetin üzerine giderek süreci tamamlayıp güvenlik açığını bildirdim. Bunun karşılığında da 1500 dolar para mükafatı aldım.”

‘YERLİ VE YABANCI BİRÇOK KURUMUN AÇIKLARINI BULDUM’

“Daha evvel, Instagram, Facebook, Snapchat, Whatsapp, Riot Games, Shopify ve ismini veremeyeceğim birçok yerli kurumumuzda da güvenlik açığı bulup buradaki yanılgıların giderilmesini sağladım” diyen Tıntaş, “Firmaların isimlerini tek tek yazmaktan çok burada şuna değinebilirim: Yurt dışı merkezli firmalar güvenliğine sınır safhada değer verip, en ufak bir güvenlik açığı karşısında bile ziyadesiyle ödül veriyor. Ülkemizdeki firmalardan da tıpkı tavır ve davranışları bekliyoruz” yorumunda bulundu.

Bilgi güvenliği için firmaların nasıl tedbirler almaları gerektiği konusunda da bilgi paylaşan Hüseyin, “Düzenli güvenlik taramaları ve güncellemeler yaparak sistemlerini muhafazaya almalı ve çalışanlarına siber güvenlik konusunda eğitimler vererek farkındalığı artırmalılar. İki faktörlü kimlik doğrulama ve şifreleme usullerini kullanarak dataların korunmasını sağlamalılar. Unutmayalım ki sistem ne kadar inançlı olursa olsun, inançsız olan sürekli insandır” dedi.

‘SİBER GÜVENLİK DEDİĞİMDE SİLAHLI MI SİLAHSIZ MI DİYORLARDI’

Gelişen teknolojiyle birlikte mesleğini açıklamanın günden güne kolaylaştığına dikkat çeken Hüseyin Tıntaş, “Geçtiğimiz yıllarda siber güvenlik yahut yazılım departmanının ne iş yaptığını açıklamak durumunda kalıyordum. Evvelce ‘Siber güvenlikle ilgileniyorum’ dediğimde ‘Silahlı mı, silahsız mı?’ üzere komik sorularla karşılaşabiliyordum. Artık herkesin bu bölümlere dair bir sorunu yahut bir sorusu olabiliyor. Lakin hâlâ toplumda bakış açısı değişmiş değil, kalıp kanılar devam ediyor. En yeterli firmada, en yeterli güvenlik mühendisi de olsanız, ailenizin ve arkadaş etrafınızın formatçısı olmaktan ne yazık ki kurtulamıyorsunuz” açıklamasında bulundu.

Hüseyin Tıntaş günümüzde karşılaşılan siber güvenlik ihlallerine neden olan 7 nedeni ise şöyle sıraladı:

– Zayıf şifreler: Kolay varsayım edilebilir ve kolay şifreler, siber saldırganların hesaplara erişmesine ve datalara ziyan vermesine yol açabilir.

– Yazılım güncellemelerinin ihmal edilmesi: Eski yazılımlar güvenlik açıkları içerebilir ve bu da siber saldırganların sisteme sızmasını kolaylaştırır.

– İnsan yanılgısı: Çalışanların kazara hassas dataları sızdırması, makus niyetli irtibatlara tıklaması yahut bilgileri korumak için kâfi tedbirler almaması.

– Toplumsal mühendislik ve phishing atakları: Kullanıcıları kandırarak şahsî bilgilerini ve şifrelerini ele geçiren siber dolandırıcılık yolları.

– Zayıf ağ güvenliği: İnançsız ağ yapılandırmaları ve güvenlik tedbirlerinin eksikliği, saldırganların ağa erişmesini ve data ihlallerine neden olmasını kolaylaştırır.

– İç tehditler: Şirket içindeki berbat niyetli çalışanlar yahut iş ortakları, hassas datalara erişebilir ve siber güvenlik ihlallerine yol açabilir.

– Malware ve ransomware: Ziyanlı yazılımlar ve fidye yazılımları, aygıtlara ve ağlara sızarak datalara ziyan verebilir ve fidye taleplerine yol açabilir.

‘KARMAŞIK VE EŞSİZ ŞİFRELER KULLANIN’

Sosyal mühendislik ve phishing (oltalama) taarruzlarına karşı nasıl korunulabileceği hakkında bilgiler veren Tıntaş, şahısların eğitilmesinin bu tıp tehditleri önlemeye yardımcı olabileceğine dikkat çekti. Hüseyin Tıntaş tıpkı vakitte, “E-posta gönderenin kimliğini doğrulayın ve beklenmedik ilişkiler, ekler yahut talepler içeren e-postalara karşı dikkatli olun. Aygıtlarınızda aktüel antivirüs ve güvenlik yazılımları kullanarak, phishing akınlarını ve ziyanlı yazılımları tespit etmeye yardımcı olabilirsiniz. Hesaplarınız için iki faktörlü kimlik doğrulama (2FA) kullanarak, makûs niyetli bireylerin hesaplarınıza erişmesini zorlaştırın. E-posta yahut toplumsal medya iletilerinde bulunan kuşkulu ilişkilere tıklamamak, sizi phishing taarruzlarından koruyacaktır” diyerek şunları da ekledi:

“Açık yahut inançsız Wi-Fi ağlarına bağlanırken dikkatli olun, bu ağlar üzerinden yapılan süreçler saldırganlar tarafından izlenebilir ve ele geçirilebilir. Uygulamaları sadece güvendiğiniz kaynaklardan (Google Play Store, Apple App Store vb.) indirin ve bilinmeyen kaynaklardan gelen uygulamalardan kaçının. Bilgilerinizi tertipli olarak yedekleyerek, taarruz durumunda değerli bilgilerinizi geri yükleyebilirsiniz. Karmaşık ve eşsiz şifreler kullanarak hesaplarınızın güvenliğini artırın ve şifrelerinizi tertipli olarak değiştirin.”

SİBER GÜVENLİK ALANINDA HANGİ GELİŞMELER YAŞANACAK?

Gelecekteki birtakım siber güvenlik alanındaki teknolojik gelişmelerin de altını çizen Hüseyin Tıntaş, “Yapay Zeka (AI) ve Makine Tahsili (ML), siber güvenlik tahlillerini geliştirmek için kullanılacaktır. Olağandışı davranışları ve güvenlik ihlallerini daha süratli tespit etmeye yardımcı olacaklardır. Blockchain, muteber ve şeffaf bilgi saklama ve paylaşma sağlayarak, data manipülasyonu ve sahteciliğini önlemeye yardımcı olacaktır. Nesnelerin İnterneti (IoT) cihazlarının sayısı arttıkça, bu aygıtları korumak için gelişmiş güvenlik tahlilleri ve protokoller geliştirilecektir. Sızma testi ve otomasyon, gelişmiş sızma testi araçları ve otomasyon teknolojileri, güvenlik açıklarının tespitini ve düzeltilmesini daha süratli ve tesirli hale getirecektir. Bulut hizmetlerinin yaygınlaşmasıyla birlikte de, bulut tabanlı güvenlik tahlilleri ve idare araçları kıymet kazanacaktır. Ayrıyeten ülkeler ve şirketler ortasında siber güvenlik tehditlerine karşı bilgi paylaşımı ve iş birliği artacaktır” notunu düştü.