22 yaşındaki Yusuf, NASA'nın açığını buldu!

25.09.2025 12:02
5 / 10

VERİ İHLALİ 

Hedef kişinin herhangi bir tıklama yapmadan sadece mail adresi bilgisiyle hesabının çalınmasını sebep olan "zero click account takeover" olarak bilinen bir zafiyet belirlediğini anlatan Yusuf Nas, "Bu zafiyet, kendi hesabınızdan başka bir hesaba geçiş yapmanızı sağlıyor. 'Zero click' de bu zafiyetin kritik nedenlerinden bir tanesi. 'Zero click' karşıdaki kullanıcının herhangi bir tıklamaya gerek kalmadan hesabının çalınması olarak değerlendiriliyor. Bu zafiyette karşıdaki kullanıcı ile herhangi bir etkileşime geçmek gerekmiyor. NASA’nın kendi kullanıcı sistemi var. Bu kullanıcı sisteminde NASA çalışanı olmayan ama NASA’nın sistemlerinde gezmek isteyen kullanıcılar, hesap oluşturabiliyor. Bu hesapla da NASA’nın etkinliklerine başvuruda bulunabiliyor. Örneğin NASA’nın Amerika’da bir etkinliği olacak, bu hesabı açmadan başvuramıyorsunuz. Bu hesabı açtığınızda da bu etkinliğe başvuru yapabiliyorsunuz. Profilinizde adres bilgileriniz, telefon bilgileriniz mail adresiniz gibi her bilginiz olduğu için bu hesabı çalabilen kullanıcı bu verilere erişim sağlıyor. Zafiyet de burada oluşuyor. NASA'nın sisteminde Google ile giriş yapma seçeneği de var. Google'ın kendi konfigürasyon ayarında bir bozukluk olduğu için ben sadece mail adresini bildiğim hesaba giriş yapabiliyorum. Örneğin ben Yusuf’um ama Ahmet adlı kullanıcının hesabına giriş yapabiliyorum. Bu hesabın tüm bilgilerini görebiliyorum. Bu da veri ihlaline giriyor." dedi.
<p><span style="color:#A52A2A"><strong>VERİ İHLALİ </strong></span></p> <p>Hedef kişinin herhangi bir tıklama yapmadan sadece mail adresi bilgisiyle hesabının çalınmasını sebep olan<strong> "zero click account takeover"</strong> olarak bilinen bir zafiyet belirlediğini anlatan Yusuf Nas, <strong>"Bu zafiyet, kendi hesabınızdan başka bir hesaba geçiş yapmanızı sağlıyor. 'Zero click' de bu zafiyetin kritik nedenlerinden bir tanesi. 'Zero click' karşıdaki kullanıcının herhangi bir tıklamaya gerek kalmadan hesabının çalınması olarak değerlendiriliyor. Bu zafiyette karşıdaki kullanıcı ile herhangi bir etkileşime geçmek gerekmiyor. <span style="color:#A52A2A">NASA’nın kendi kullanıcı sistemi var. Bu kullanıcı sisteminde NASA çalışanı olmayan ama NASA’nın sistemlerinde gezmek isteyen kullanıcılar, hesap oluşturabiliyor. Bu hesapla da NASA’nın etkinliklerine başvuruda bulunabiliyor.</span> Örneğin NASA’nın Amerika’da bir etkinliği olacak, bu hesabı açmadan başvuramıyorsunuz. Bu hesabı açtığınızda da bu etkinliğe başvuru yapabiliyorsunuz. Profilinizde adres bilgileriniz, telefon bilgileriniz mail adresiniz gibi her bilginiz olduğu için bu hesabı çalabilen kullanıcı bu verilere erişim sağlıyor. Zafiyet de burada oluşuyor. NASA'nın sisteminde Google ile giriş yapma seçeneği de var. Google'ın kendi konfigürasyon ayarında bir bozukluk olduğu için ben sadece mail adresini bildiğim hesaba giriş yapabiliyorum. Örneğin ben Yusuf’um ama Ahmet adlı kullanıcının hesabına giriş yapabiliyorum. Bu hesabın tüm bilgilerini görebiliyorum. Bu da veri ihlaline giriyor."</strong> dedi.</p>