Ford’un İnternet Sitesinde Güvenlik Açığı

Geçtiğimiz hafta araştırmacılar, Amerikan araba devi Ford Motor Company’nin resmi internet sitesinde bir güvenlik açığı yakaladı. Kelam konusu bu açık, hassas sistemlere erişime, müşteri bilgi tabanına ve çalışan bilgilerine üzere birçok ayrıntılı bilgiye kolay kolay ulaşılmasını sağladı.

Robert Willis ve break3r tarafından keşfedilen bu güvenlik açığı, daha sonrasında Sakura Samurai isimli hacker kümesi tarafından denendi ve probleminin kaynağının CRM yazılımındaki bir kusur olduğu ortaya çıktı.

Ford’un bu güvenlik açığını kabullenmesi 6 ay sürdü

cd35b544c165d06224718ff6a4116135eb47a9b9

HackerOne isimli hacker kümesi, büyük şirketleri hackledikten sonra fidye isteyen tıpta makus niyetli bir küme değil. Bilakis, tıpkı Ford’da olduğu üzere büyük şirketlerin internet sitelerinde rastgele bir güvenlik açığı varsa bunu tespit ediyorlar ve karşılığında (eğer varsa) teşvik yahut yanılgı bulma mükafatı alıyorlar.

Kümenin başındaki isim John Jackson’ın anlattıklarına nazaran Ford, internet sitesindeki bu güvenlik açığını pek umursamamış. Jackson ve kümesi, şubat ayında Ford’a tespit ettikleri güvenlik açığı hakkında e-posta göndermiş, müşteri ve çalışan kayıtları, finans hesap numaraları üzere son derece değerli bilgilerin korunmasız olduğunu belirtmiş lakin Ford’dan elle tutulur cevap alamamış.

Sakura Samurai, kanunları ihlal etmeden Ford’un bu durumun farkına varabilmesi içintam 6 ay boyunca beklemek zorunda kalmış en nihayetinde binlerce değerli datayı elinde tutan şirket, güvenlik açığına yönelik bir adım atmış.

Amerikan araba devi Ford, hacker kümesinin gönderdiği bulguları “özel bulgular” olarak nitelendirip, hususla ilgili halka açık bir açıklama yapmayacaklarını lisana getirdi. Verilen bilgilere nazaran Ford, elde ettikleri bulgulardan çabucak sonra sistemi çevrimdışı hale getirip sorunu çözmek için çalışmalara başlamış.

Yorum yapın