ABD’nin “hall of fame” listesine girmeyi başaran Türk Hacker Mustafa Kemal Can da, bug bounty etkinliğine katılarak başarı elde etti.
ABD devletinin resmi e-devlet portallarına dair açtığı bug bounty programı, Ağustos 2017’de Donald Trump’un isteği ile başlatılmıştı. Bu etkinlik bugün 26 farklı ve kritik güvenlik zafiyetinin bulunmasına sebep oldu.
Bug Bounty Nedir?
Bug Bounty programları, dünya çapında önemli sitelerde yapılan etkinlikler olarak biliniyor. Bakıldığında, bug bounty programını açan pek çok şirket yahut devlet; listelediği web sitelerinde herhangi bir güvenlik zafiyeti bulan kişileri halka arz etmekle kalmıyor, para ödülleri de dağıtıyor. Amerika da bu programı açan ve 20 farklı internet sitesinde etkinliği başlatan devletlerden bir tanesi.
Hackerone’da Başlatıldı
ABD’nin Bug Bounty etkinliği Hackerone adlı platformda başlatıldı ve yalnızca iki gün sonra Mustafa Kemal Can adlı Türk bir üniversite öğrencisi; ABD’nin e-devlet sitesi olan “login.gov” adresinde kritik bir güvenlik zafiyeti tespit etti.
Bu zafiyete göre; her kullanıcı login.gov’a kullanıcı bilgileri ile giriş yaparken aynı zamanda bir güvenlik adımı doğrulamasını geçmek durumundaydı ve bu doğrulama SMS ile oluyordu. Bu SMS doğrulama protokolünü saf dışı bırakmayı başaran Mustafa Kemal Can, aynı zamanda sistemin arşivlerindeki dondurulmuş hesaplara da kolaylıkla erişebiliyordu.
Zafiyet Kapatıldı
Mustafa Kemal Can tarafından bulunan güvenlik zafiyeti ABD hükümetinin atadığı güvenlik uzmanları tarafından çok kısa süre içerisinde kapatıldı ve Bug Bounty “hall of fame” listesinde 26 kişi arasında Mustafa Kemal Can da kendine yer buldu. Para ödülü kazanıp kazanmadığı bilinmeyen bu ismin yalnızca üniversite öğrencisi olduğu biliniyor ancak hangi bölümde okuduğu ya da daha önce bug bounty programlarına katılıp katılmadığı hakkında herhangi bir bilgi bulunmuyor.
Mustafa Kemal Can ‘ın kişisel internet sitesini buldum. Güzel yazılar yazıyor. https://mustafakemalcan.com