“Hesap devralma zafiyeti tespit ettim”

Nas, bulduğu açığın teknik ayrıntılarını paylaşarak sürecin kıymetini vurguladı. Tespit ettiği zafiyetin, kullanıcıların hesaplarına hiçbir etkileşim olmadan erişim sağlanmasına neden olduğunu belirtti. Rastgele bir tıklamaya gerek kalmadan NASA’nın sistemine kayıtlı kullanıcının hesabının ele geçirilebildiğini anlatan Nas, “Yaklaşık 3 yıldır siber güvenlikle ilgileniyorum. Bu alanda kendimi geliştiriyorum. Yakın vakitte NASA’nın sistemlerinde de zafiyet buldum. Bu zafiyet şöyle bir zafiyet. Siz kendi hesabınızdan farklı hesaplara geçiş yapabiliyorsunuz. Biz de buna account takeover olarak nitelendiriyoruz. Sizin bir hesabınız var diyelim farklı hesaplara erişiminiz yok farklı hesaplara erişiminiz olmasını sağlıyor yani aslında farklı hesabı devralmak diyebiliriz aslında biz buna. Şöyle oluşuyor. Zero click ismini verdiğimiz bir zafiyet tipi var. Bu zafiyet tipi karşı tarafın rastgele bir tıklamaya gerek kalmadan hesabının ele geçirilmesi manasına geliyor. Bazen SMS gelir, ziyanlı linkler gelir, bunları tıkladığınızda kimi datalarınız çalınır. Bunlar zero click değildir mesela. Bunlar bir tıklamaya gereksinim duyar. Lakin benim bulduğum zafiyette karşı tarafın hiçbir biçimde tıklamasına gerek kalmadan hesap devralma zafiyetiydi. Bu esasen bu yüzden kritik bir zafiyet olarak nitelendirildi” dedi.

NASA ile yürütülen süreç üç ay sürdü

Nas, NASA’ya Haziran ayında gönderdiği raporun akabinde üç ay boyunca uzmanlarla bağlantıda kaldı. Zafiyetin kapatılması için teknik dayanak sundu ve süreci birlikte yönetti. Nas, “NASA’nın şöyle bir de siyaseti var. Şayet zafiyet bulup bunu bize bildirirseniz ve geçerli bir zafiyetse biz size ödül veriyoruz diyor. Şöyle bir süreç işledi. Ben bu zafiyeti buldum. Uzun müddettir esasen bu alanla ilgileniyordum. NASA’ya bunu bildirdim. Haziran ayında bu raporu gönderdim. NASA bu raporu inceledi ve geçerli bir zafiyet olabileceğine karar verdi. Ben de yaklaşık 3 aylık süren süreçte NASA’ya ek bilgiler gönderdim. Kendi istedikleri doğrultuda çalışmalar yaptım. NASA’nın zafiyet kapatma basamağına aslında yardım ettim diyebiliriz” diye konuştu.

NASA sistemine kayıtlı kullanıcıların dataları risk altında kaldı

Nas’ın tespit ettiği açık, kullanıcıların şahsî bilgilerine erişim sağlanmasına imkan tanıdı. NASA’nın aktiflik sistemine kayıtlı kullanıcıların konut adresi, telefon numarası üzere hassas bilgileri bu açık nedeniyle tehlikeye girdi. Nas, süreci şöyle aktardı:

“Zafiyeti gönderiyorsunuz. Nasıl kapatılacağını anlatıyorsunuz. NASA’da bu yönergeye nazaran size şayet hakikaten başarılı bir biçimde bu süreç tamamlarsanız bir onur evrakı veriyor. Bir de onur listesine ekliyor. Ben de bunları almaya hak kazanıyorum. NASA’nın sistemlerinde bir kullanıcı girişi var. NASA bu kullanıcılara kendi aktifliklerine katılma fırsatı veriyor. Siz şayet NASA’nın çalışanı değilseniz sisteme kayıt yapmanız lazım. Bu kullanıcılar sisteme giriş yaparken de mesken adresi, isim, soy isim, telefon numarası üzere hassas datalar olarak isimlendirdiğimiz bilgileri kaydediyor aslında. Benim bu zafiyetimde farklı bir hesabı devralmaya yönelik olduğu için farklı kullanıcıların istediğim kullanıcının aslında mesken adresi olsun, telefon numarası olsun bunları ele geçirmeme olarak sağlıyordu. Data ihlali sınıfına girdiği için de NASA bunu biraz ciddiye aldı ve bu süreci birlikte yönettik. Üç aylık süreçte kendilerine verdiğim bilgiler işte mesela zafiyeti kapattık diyorlar ancak ben tekrar inceliyorum kapanmamış. Farklı bir halde tetiklenebiliyor. Ben bunu tekrar söylüyorum. Bu sefer farklı bir metot izliyorlar. Bu süreç bu yüzden 3 ay sürdü. Bazen 3 ay sürmeyebiliyor. Sonunda nitekim bu türlü bir zafiyet oldu.”

“Hayalimi gerçekleştirdim”

Nas, elde ettiği başarıyı üniversitesiyle paylaştı. Okulunun dayanağını aldığını ve bu sürecin kendisi için manevi bir kıymet taşıdığını söz etti. Kendisinden sonra başlayanlara da “çalışmayı” tavsiye eden Nas kelamlarını şöyle tamamladı:

“Ben de okulumla paylaştım. Okulum da bunu ciddiye aldı ve çok tebrik etti beni. Çok dayanak oldular. Benim işime çok onur verici bir şey oldu. Ben aslında bu alanda uzun müddettir ilgileniyordum. Farklı şirketlerde zafiyetler bulup mükafatlar aldım. Fakat NASA kadar büyük bir çapta bir şirket olmamıştı açıkçası yani maddi açıdan ödül aldığım oldu ancak bu NASA’dan aldığım onur mektubu benim için manevi bir armağan üzere oldu. Benim hayalimdi ve hayalimi gerçekleştirdim. Çok keyifli oldum bu yüzden. Bu olan sahiden beşere hoş şeyler verebiliyor. Benim de öğrenciyken bu türlü bir şey almam beni çok keyifli etti. Bu alanda ilerlemek için biraz daha teşvik oldu diyebiliriz. Bu alanda ilerlemek isteyen arkadaşlarıma da çalışmayı bırakmamalarını tavsiye ederim. Yani çalıştıktan sonra her şey oluyor. Tahminen benden çok daha yeterliler var. Benden daha yeni başlayan, daha düşük düzeyde olanlar var. Bu işin çalışmak. Çalıştıktan sonra her şey olabiliyor.”

Konuyla ilgili açıklamalarda bulunan Zonguldak Bülent Ecevit Üniversitesi Rektörü Prof. Dr. İsmail Hakkı Özölçer, Yusuf Nas’ın muvaffakiyetinin yalnızca BEUN için değil, ülkemiz ismine da gurur verici olduğunu vurgulayarak kelamlarında şu sözlere yer verdi:

“Cumhuriyetimizin birinci üniversitelerinden biri olan Zonguldak Bülent Ecevit Üniversitesi, bilimsel üretim ve genç yeteneklerin yetişmesi noktasında her geçen gün daha da güçlü adımlar atmaktadır. Öğrencimiz Yusuf Nas’ın, NASA üzere dünyanın en itibarlı kurumlarından birinin siber güvenlik açıklarını tespit ederek hem takdir edilmesi hem de Onur Listesi’ne alınması, üniversitemizin bilimsel altyapısının ve eğitim kalitesinin en somut göstergesidir. Bu his ve kanılarla başta öğrencimizi yetiştiren çok değerli akademisyenlerimize teşekkür ediyorum. Böylesine gurur verici bir muvaffakiyete imza atan bedelli öğrencimiz Yusuf Nas’ı ise canı gönülden tebrik ediyor, çalışmalarında muvaffakiyetlerinin devamını diliyorum.”

Rektör Prof. Dr. Özölçer açıklamasında ayrıyeten gençlerin teknoloji, bilişim ve savunma sanayii üzere stratejik alanlarda yetişmesinin ülkenin geleceği açısından büyük kıymet taşıdığına dikkat çekerek, Yusuf Nas’ın muvaffakiyetinin başka öğrencilere de ilham kaynağı olacağını belirtti.

Cumhuriyet Halk Partisi (CHP) Karabük Milletvekili Cevdet Akay; Türkiye’nin varlığının faize gittiğini belirterek, “İktidarın yanlış ekonomi politikaları ekonomiyi çökertti, Türkiye Varlık Fonu faize milyarlar ödedi” dedi.

Türkiye Varlık Fonu’nun 2022 yılına ilişkin finansal durumu ve denetim raporu TBMM Plan ve Bütçe Komisyonu’na sunuldu. Sunulan raporda, Varlık Fonu’na ait şirketlerin 2022 yılında 5 milyar liranın üzerinde faiz ödemesi yaptığı ortaya çıktı.

“İKTİDAR ÜLKEMİZİ FAİZ KISKACINA SOKTU”

Varlık Fonu’nu Denetim Raporlarını değerlendiren CHP Karabük Milletvekili ve TBMM Plan Bütçe Komisyonu Üyesi Cevdet Akay, “İktidarın yanlış politikaları ekonomimizi çökertti, ülkemizi faiz kıskacına soktu. Yolunu kaybederek büyük bir çıkmaz içine giren iktidar, yanlışlarını düzeltmek yerine yanlışını başka bir yanlışla örtmeye çalışıyor. Türkiye’nin en büyük kamu şirketlerinin bu fona devredilmesibüyük bir hata olur dediğimizde bizi dinlemeyen iktidar, şu anda ne kadar haklı olduğumuzu görüyor.” dedi.

“5 MİLYAR LİRA VARLIK FONU’NDAN FAİZE GİTMİŞ”

Varlık Fonu hakkında eleştirilerde bulunan CHP’li Akay, “Ekonominin uzun dönemli istikrarı, krizlere karşı korunması ve gelecek kuşakların refahını artırma hedefine dönük yatırımlar yapmak için kurulan Varlık Fonu, hedeflerinden saparak Türkiye’nin gözbebeği kamu işletmelerini adeta yok etmek üzere. Fona devredilmeden önce büyük karlar elde eden kamu işletmeleri, fona devredildikten sonra yaptığı büyük zararlarla ekonomide adet kara deliğe dönüşmüş durumda.Faize sözde karşı olan iktidar, şu an faize sarılmış ve faizi milletimizin başına bela etmiş durumda.Varlık Fonu’na ait şirketler sadece bir yıl içinde 5 milyar liranın üzerinde faize ödeme yaptı. Sözde faiz karşıtı olan iktidar milletimizin alın terini faize yatırıyor. Bu ikircikli siyaset asla kabul edilemez.” ifadelerini kullandı.

TVF FAİZE ÇALIŞMIŞ

Milletvekili Akay, Varlık Fonu’na ait şirketlerin Denetim Raporlarını inceleyerek, faiz ödemelerinin geldiği vahim tabloyu gözler önüne serdi.

TVF Bilgi Teknolojileri İletişim Hizmetleri Sanayi ve Ticaret A.Ş.
2021: 811 milyon 8 bin 814 lira
2022: 2 milyar 367 milyon 514 bin 394 lira

TVF Finansal Yatırımlar A.Ş.
2021: 873 milyon 367 bin lira
2022: 1 milyar 2 milyon 513 bin lira

TVF Rafineri ve Petrokimya Sanayi ve Ticaret A.Ş.
2021: 92 bin 154 lira
2022: 1 milyon 737 bin 719 lira

TVF İFM Gayrimenkul İnşaat ve Yönetim A.Ş.
2021: 1 milyar 465 milyon 890 bin 718 lira
2022: 2 milyar 394 milyon 197 bin 286 lira

TVF Enerji Sanayi ve Ticaret A.Ş.
2021: 40 bin 843 lira
2022: 1 milyon 60 bin 148 lira

TVF Türkiye Maden Sanayi ve Ticaret A.Ş.
2021: 17 bin lira
2022: 3 milyon 971 bin 907 lira