Ford’un İnternet Sitesinde Güvenlik Açığı

Geçtiğimiz hafta araştırmacılar, Amerikan otomobil devi Ford Motor Company’nin resmi web sitesinde bir güvenlik açığı elde etti. Söz mevzusu bu açık, kırılgan sistemlere erişime, satın alan veri tabanına ve çalışan bilgilerine benzer biçimde birçok detaylı veriye kolayca ulaşılmasını sağlamış oldu.

Robert Willis ve break3r tarafınca keşfedilen bu güvenlik açığı, daha sonrasında Sakura Samurai adlı hacker grubu tarafınca denendi ve problemininin kaynağının CRM yazılımındaki bir hata olduğu ortaya çıktı.

Ford’un bu güvenlik açığını kabullenmesi 6 ay sürdü

HackerOne adlı hacker grubu, büyük şirketleri hackledikten sonrasında fidye isteyen türde fena niyetli bir grup değil. Aksine, tıpkı Ford’da olduğu benzer biçimde büyük şirketlerin web sitelerinde herhangi bir güvenlik açığı var ise bunu tespit ediyorlar ve karşılığında (eğer var ise) teşvik yada hata bulma ödülü alıyorlar.

Grubun başındaki isim John Jackson’ın anlattıklarına gore Ford, web sitesindeki bu güvenlik açığını pek umursamamış. Jackson ve grubu, şubat ayında Ford’a tespit ettikleri güvenlik açığı hakkında e-posta göndermiş, satın alan ve çalışan kayıtları, finans hesap numaraları benzer biçimde son aşama mühim bilgilerin korunmasız bulunduğunu belirtmiş sadece Ford’dan elle tutulur cevap alamamış.

Sakura Samurai***, yasaları ihlal etmeden Ford’un bu durumun farkına varabilmesi için*** tam 6 ay süresince beklemek zorunda kalmış en sonucunda binlerce mühim veriyi elinde tutan şirket, güvenlik açığına yönelik bir adım atmış.

Amerikan otomobil devi Ford, hacker grubunun gönderilmiş olduğu bulguları “hususi bulgular” olarak nitelendirip, mevzuyla ilgili halka açık bir izahat yapmayacaklarını dile getirdi. Verilen bilgilere gore Ford, elde ettikleri bulgulardan derhal sonrasında sistemi çevrimdışı hale getirip problemi çözmek için çalışmalara başlamış.