Bilim-Teknoloji
MERSİS'te büyük güvenlik açığı
Gümrük ve Ticaret Bakanlığı tarafından kullanılan Merkezi Sicil Kayıt Sistemi'nde (MERSİS), TC kimlik numarasından ev adresine ulaşılabilmesine neden olan bir güvenlik güvenlik açığı ortaya çıkarıldı. Açık, kısmen de olsa onarıldı.
Konular:
Bilim-Teknoloji
gümrük ve ticaret bakanlığı'na bağlı olan mersis'in (merkezi sicil kayıt sistemi) güvenlik ağında meydana gelen açık nedeniyle, tc kimlik numarası girilmesi halinde vatandaşların ev adresleri ve diğer kişisel bilgilerine erişim sağlanabiliyor. sadece mersis'le kısıtlı kalmayan güvenlik açığı, diğer devlet sitelerinde de vatandaşların farklı bilgilerine erişim imkanı sunuyor.
kimlik bilgilerinin yanı sıra aile hekiminin adı ve kullanılan sağlık ocağı gibi bilgileri de açığa çıkaran güvenlik açığı, siber suçluların sayısız vatandaşın şahsi bilgilerine ulaşmasını sağlayabilir.
'güvenlik kodu işlev göstermedi'
al jazeera'ye konu hakkında açıklamada bulunan bilgi güvenliği danışmanı batuhan katırcı, mersis projesinin yetkililerine gerekli uyarıda bulunduklarını ve açığın kapatılmakta olduğunu belirtti.
katırcı, 'mersis'e kayıt yaptırırken, bazı bilgilerin pratik bir şekilde girilebilmesi için kayıt formuna basit bir sistem entegre edildiğini, hastaneler dahil olmak üzere birçok devlet kurumunu kapsayan bu sistemde açık oluşmasının iki önemli nedeni olduğunu' belirtti.
katırcı ilk nedenin 'ek güvenlik aşaması konulmadan tc kimlik numarasından doğrudan şahsi bilgilere erişim sağlanması' olduğunu ifade etti. ikinci neden ise güvenlik kodu gibi teknik eksikliklerden dolayı bu bilgilere açık kapı bırakılması.
mersis'ten bağımsız olan aşağıdaki senaryoda, hacker'lar farklı web siteleri üzerinden şahsi bilgilere erişebilir:
Güvenlik açığı aile hekiminizin adresi ve adını da ortaya çıkarıyor.
güvenlik açığı kapatılıyor
katırcı, ortaya çıkan açığın önemli güvenlik hususları doğurduğuna dikkat çekti.
siber suçlular, basit bir algoritma aracılığıyla kullanımda olanlar dahil sayısız tc kimlik numarası üreterek güvenlik açığı sayesinde vatandaşların bilgilerine erişebilir. bir sitede ev adresinize erişilirken, bir diğer sitede anne-babanızın kimlik bilgilerine veya aile hekiminizin adresine, adına ulaşılabilir.
katırcı, yapılan mühahalelerin ardından adres bilgilerine erişimin kesildiğini, tc kimlik no girilerek sadece ad ve soyad bilgisine erişilebildiğini söyledi. ancak bu bilgilerle, diğer devlet sitelerindeki açıklardan yararlanmak ve ek bilgilere ulaşmak mümkün.
ilk olarak sosyal medyada duyurulan mersis açığının bir daha yaşanmaması için güvenlik basamağında iki aşamalı tanımlama uygulanması tavsiye ediliyor.
kaynak: al jazeera
Yorumlar