Zonguldak Bülent Ecevit Üniversitesi (BEUN) Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü 4. sınıf öğrencisi 22 yaşındaki Nas, NASA sistemlerinde kullanıcıların kendi hesaplarından başka hesaplara erişim sağlamasına imkan tanıyan zafiyeti tespit etti.
Durumu NASA'ya bildiren, üç aylık süreç boyunca gerekli ek bilgileri sağlayıp NASA Siber Güvenlik ekipleriyle koordineli çalışan Nas, açığın kapatılmasına katkıda bulundu.
Öğrencinin tespit ettiği açığın veri ihlali riski taşıdığı belirlenmesi üzerine Nas'a takdir mektubu gönderildi, adı NASA'nın onur listesine eklendi.
- "NASA'nın zafiyet kapatma aşamasına aslında yardım ettim"
Nas, gazetecilere, yaklaşık 3 yıldır siber güvenlik alanında çalışmalar yürüttüğünü belirterek, tespit ettiği "Account takeover" olarak nitelendirilen bu zafiyetin erişimi olmayan başka hesaplara erişim sağlamasına imkan tanıdığını anlattı.
Aslında bu açığın "farklı hesabı çalmak" olarak ifade edilebileceğine değinen Nas, "'Zero click' adını verdiğimiz bir zafiyet türü var. Bu zafiyet karşı tarafın hiçbir tıklamaya gerek kalmadan hesabının ele geçirilmesi anlamına geliyor. Bazen SMS, zararlı linkler gelir. Bunlara tıkladığınızda bazı verileriniz çalınır. Mesela bunlar zero click değildir. Bunlar bir tıklamaya ihtiyaç duyar ama benim bulduğum zafiyet, karşı tarafın hiçbir tıklamasına gerek kalmadan hesap devralma zafiyetiydi." diye konuştu.
Nas, bulduğu açığın kritik seviyede değerlendirildiğini ve NASA'nın bu tür durumlarda belirli politika uyguladığını, kurumun sistemlerinde tespit edilen ve geçerliliği kanıtlanan zafiyetleri bildiren araştırmacıları ödüllendirdiğini ifade etti.
Uzun zamandır bu alanla ilgilendiğini belirten Nas, "NASA'ya bunu bildirdim. Haziran ayında bu raporu gönderdim. NASA bu raporu inceledi ve geçerli bir zafiyet olabileceğine karar verdi. Ben de yaklaşık 3 ay süren süreçte NASA'ya ek bilgiler gönderdim. Kendi istedikleri doğrultusunda çalışmalar yaptım. 'NASA'nın zafiyet kapatma aşamasına aslında yardım ettim.' diyebiliriz. Zafiyeti gönderiyorsunuz, nasıl kapatılacağını anlatıyorsunuz. NASA'da bu yönergeye göre eğer gerçekten başarılı şekilde süreç tamamlarsanız onur belgesi veriyor." şeklinde konuştu.
- "Öğrenciyken takdir mektubu almam beni çok mutlu etti"
Nas, söz konusu açığın NASA'nın kullanıcı kayıt sistemiyle ilgili olduğunu ve bulduğu zafiyetin kullanıcıların adres, e-posta, ad-soyad ve telefon numarası gibi hassas verilerine erişebildiğini dile getirdi.
Bulduğu zafiyetin farklı kullanıcıların hesaplarına erişim sağlayarak bu bilgilerin ele geçirilmesine olanak tanıdığını, bunun da "veri ihlali" kapsamında değerlendirildiğini vurgulayan Nas, zaman zaman kapatıldığı bildirilen açığın yeniden tetiklenebildiğini gördüğünü, bu nedenle farklı yöntemler izlenerek zafiyetin tamamen ortadan kaldırıldığını anlattı.
Nas, bu süreçte üniversitesinin de kendisini tebrik ederek destek verdiğini belirterek, "Farklı şirketlerde zafiyetler bulup ödüller almıştım. NASA kadar büyük çapta şirket olmamıştı. Maddi açıdan ödül aldığım oldu ama bu NASA'dan aldığım onur mektubu benim için manevi hediye gibi oldu. Benim hayalimdi ve hayalimi gerçekleştirdim. Çok mutlu oldum. Bu alan insana gerçekten güzel şeyler verebiliyor. Öğrenciyken takdir mektubu almam beni çok mutlu etti. Bu alanda ilerlemem için biraz daha teşvik oldu." değerlendirmesinde bulundu.
- "Gurur verici başarıya imza atan değerli öğrencimizi canıgönülden tebrik ediyorum"
Zonguldak BEUN Rektörü Prof. Dr. İsmail Hakkı Özölçer de yaptığı yazılı açıklamada, Yusuf Nas'ın başarısının sadece üniversite için değil, ülke adına da gurur verici olduğunu kaydetti.
Cumhuriyetin ilk üniversitelerinden biri olan Zonguldak BEUN'un bilimsel üretim ve genç yeteneklerin yetişmesi noktasında her geçen gün daha da güçlü adımlar attığını aktaran Özölçer, şunları ifade etti:
"Öğrencimiz Yusuf Nas'ın NASA gibi dünyanın en prestijli kurumlarından birinin siber güvenlik açıklarını tespit ederek hem takdir edilmesi hem de onur listesine alınması, üniversitemizin bilimsel altyapısının ve eğitim kalitesinin en somut göstergesidir. Bu duygu ve düşüncelerle başta öğrencimizi yetiştiren çok kıymetli akademisyenlerimize teşekkür ediyorum. Böylesine gurur verici başarıya imza atan değerli öğrencimiz Yusuf Nas'ı ise canıgönülden tebrik ediyor, çalışmalarında başarılarının devamını diliyorum."
Özölçer, gençlerin teknoloji, bilişim ve savunma sanayisi gibi stratejik alanlarda yetişmesinin ülkenin geleceği açısından büyük önem taşıdığına da dikkati çekti.