NASA'da kritik güvenlik açığını bulan öğrenciye takdir mektubu
Zonguldak Bülent Ecevit Üniversitesi (BEUN) Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü 4. sınıf öğrencisi 22 yaşındaki Yusuf Nas, Ulusal Havacılık ve Uzay Dairesi'nin (NASA) sistemlerinde tespit ettiği kritik güvenlik açığı sayesinde kurumun onur listesine alınarak takdir mektubu ile ödüllendirildi.
Zafiyetin tespiti ve bildirim süreci
Nas, NASA sistemlerinde kullanıcıların kendi hesaplarından başkalarının hesaplarına erişim sağlamasına imkan tanıyan bir güvenlik açığı tespit etti. Bu zafiyeti kurum yetkililerine bildiren Nas, yaklaşık 3 aylık süreç boyunca NASA Siber Güvenlik ekipleriyle koordineli çalışarak gerekli ek bilgileri paylaştı ve açığın kapatılmasına katkıda bulundu.
Nas bulduğu zafiyeti anlatırken, tespit edilen sorunun "Account takeover" yani farklı bir hesabın devralınmasına imkan veren bir zaafiyet olduğuna dikkat çekti. Ayrıca, bu durumu "Zero click" türü bir zafiyetle ilişkilendirerek, "Bu zafiyet karşı tarafın hiçbir tıklamaya gerek kalmadan hesabının ele geçirilmesi anlamına geliyor" diye konuştu.
Etkileri ve kapatma süreci
Nas, açığın NASA'nın kullanıcı kayıt sistemiyle ilgili olduğunu ve bu zafiyet sayesinde kullanıcıların adres, e-posta, ad-soyad ve telefon numarası gibi hassas verilerine erişilebildiğini belirtti. Bu durumun veri ihlali riski taşıdığı tespit edilince Nas'a takdir mektubu gönderildi ve adı NASA'nın onur listesine eklendi.
Nas, bazı zamanlarda kapatıldığı bildirilen açığın yeniden tetiklenebildiğini gözlemlediğini; bu nedenle farklı yöntemlerle sorunun tamamen ortadan kaldırıldığını aktardı. Süreç hakkında, "NASA'nın zafiyet kapatma aşamasına aslında yardım ettim" ifadelerini kullandı ve Haziran ayında raporu gönderdikten sonra NASA'nın raporu incelediğini, geçerli bir zafiyet olduğuna karar verildiğini; kendisinin de üç ay süren süreç boyunca ek bilgiler sağladığını vurguladı.
Öğrencinin memnuniyeti ve üniversitenin değerlendirmesi
Yusuf Nas, daha önce farklı şirketlerde bulduğu zafiyetlerden maddi ödüller aldığını ancak "Maddi açıdan ödül aldığım oldu ama bu NASA'dan aldığım onur mektubu benim için manevi hediye gibi oldu" diyerek duyduğu memnuniyeti dile getirdi. "Öğrenciyken takdir mektubu almam beni çok mutlu etti" sözleriyle bu başarının kariyerine katkısına değindi.
Zonguldak BEUN Rektörü Prof. Dr. İsmail Hakkı Özölçer ise yazılı açıklamasında, Yusuf Nas'ın başarısının hem üniversite hem de ülke açısından gurur verici olduğunu belirtti. Özölçer, öğrencinin NASA gibi prestijli bir kurumun siber güvenlik açığını tespit ederek takdir edilmesinin üniversitenin bilimsel altyapısı ve eğitim kalitesinin somut bir göstergesi olduğunu ifade etti ve öğrenciyi, yetiştiren akademisyenleri tebrik etti.
Rektör ayrıca, gençlerin teknoloji, bilişim ve savunma sanayisi gibi stratejik alanlarda yetişmesinin ülkenin geleceği açısından önemine vurgu yaptı.
