Aşı Pasaportu Uygulamasında Açık Bulundu
COVID-19 ile mücadelede aşı çok büyük bir rol oynuyor. Aşıların ve aşılanan bireylerin takibi de önem kazanıyor. Bu ihtiyacı gideren uygulamalar acilen geliştirildiği için güvenliğe dair endişe yaratabiliyor. Avustralya'nın bu amaçla kullandığı uygulamada güvenlik açığı bulunmasıyla birlikte BugBounter.com, hassas verilerin depolandığı uygulamaları hedef alabilecek olası siber saldırıların geri dönüşü olmayan sonuçlarına karşı uyarıyor.
COVID-19'a karşı aşıyla en etkili mücadelenin
verildiği günümüzde devletler geliştirdikleri özel uygulamalarla
vatandaşların aşı bilgisini ve temaslı olduğu kişilerin listesini
tutuyor. Bununla birlikte kimlik, aşı, sağlık bilgileri gibi
çeşitli hassas bilgilerin de kullanılması, bu uygulamaların siber
saldırıya uğrama ihtimalini artırıyor. Şirketlerin güvenlik
açıklarını denetleme, bulma ve doğrulama ihtiyacını bünyesindeki
1000'in üzerinde bağımsız araştırmacıyla hızlı ve güvenilir bir
şekilde karşılayan BugBounter.com, Avustralya'da
kullanılan uygulamada bu ihtimalin gerçekleşmesine neden olacak bir
açığın bulunmasının ardından hassas verilerin depolandığı
uygulamaları hedef alabilecek olası siber saldırıların yıkıcı
sonuçlarına dikkat çekiyor.
Avustralya'da yaşanan, her ülkede gerçekleşebilir
Bir güvenlik araştırmacısı, Avustralya hükümetinin geliştirdiği ve bireylerin aşı bilgilerini otomatik olarak kullanan dijital aşı pasaportu uygulamasında kendisinin aşı bilgisini kolayca değiştirmesini sağlayan bir açık buldu. Dünyanın dört bir yanında devletler COVID-19'un yayılmasını yavaşlatmak için özel uygulamalar ve temas takibi yapan çözümler geliştiriyor. Vatandaşların da kafe, pazar, havaalanı, alışveriş merkezi gibi toplu alanlara girebilmek için bu uygulamaları kullanması bekleniyor.
Konuyla ilgili NordVPN'in gerçekleştirdiği Vaccines Passport Privacy Study araştırmasına göre katılımcıların yüzde 66'sı seyahat için zorunlu tutulduğunda aşı pasaportu uygulamasını kullanabileceğini belirtiyor ancak ocak ayında gerçekleştirilen başka bir araştırmaya göre katılımcıların yüzde 75'i bu uygulamaların güvenliğinden endişe duyuyor.
BugBounter.com Kurucu Ortağı Murat Lostar, konuyla ilgili şunları söyledi: "Koronavirüs, siber saldırganların insanların korkularından ve zafiyetlerinden yararlanabileceği ideal bir ortam oluşturuyor. Aşı bilgilerini ele geçirmeleri durumunda siber saldırganların aşı pasaportlarına ve kimlik çiplerine erişmeleri mümkün oluyor. Bu yüzden kamu yöneticilerinin ve bu tür uygulamaların geliştirilmesinde rol alan şirketlerin potansiyel ve mevcut açıkların keşfedilmesinde en etkili yöntem olan bug bounty (ödül avcılığı) programlarını tercih etmesi, onlara büyük faydalar sağlıyor. Bug bounty programları sayesinde sistemlerini olası bir siber saldırıya karşı en uygun maliyetle, en yetenekli kişilere sürekli denetletebiliyorlar. BugBounter.com olarak ülkemizde öncülük ettiğimiz bu yöntem sayesinde birlikte çalıştığımız kurumlar sadece varlığı deneyimli uzmanlar tarafından doğrulanmış güvenlik açıkları için ücret ödüyor ve bu sayede ayırdıkları bütçeleri verimli bir şekilde yönetebiliyor. Ödül avcılığı programlarında güvenlik testleri için ayrılan zaman ve bütçe, yanlış bilgilerle (false positive/false negative) ve hipotez raporlarla boşa gitmiyor. Şirketler, siber güvenlik uzmanlarına vereceği ödülü, programın takvimini ve kapsamını kendi belirleyebildiği ve her an düzenleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak kontrol ettirebiliyor. Platformun güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili ekiplerimiz kısa süre içinde doğrulama süreçlerini tamamlıyor, önemine göre derecelendiriyor ve şirketin belirlediği güvenlik ekiplerine iletiyor. Kapatılan açıkların kontrolü de yine aynı uzmanlarca gerçekleştiriliyor."