ahmetmemed
Femtopat
- Katılım
- 8 Temmuz 2022
- Mesajlar
- 6
Merhaba. Kendimi bug bounter olarak tanımlayabilirim. Sizin beyaz şapkalı olarak bildiğiniz, hacking ve türevlerine hakim biriyim. Bu forumda ve diğer yerlerde defalarca konusu geçtiği için açıklamada bulunmak istedim.
Öncelikle 2016 yılında yapılan sızıntıyla alakası yok güncel durumun. O tarz bir sızıntı 6 sene önce dahi sadece içeriden müdahale ile mümkündü. Yani herhangi bir grup saldırıda bulunup bu verileri elde etmemişti. Şu an olan olay ise; mernis denilen nüfus kurumu, bazı kurumlara yetki veriyor. Bunlar hastane, e-Okul gibi ya da özel yani sigorta acentesi veya benzeri kurumlar olabiliyor. Bu yetki sayesinde kurum, ismini yazdığı kişilerin bilgisini alabiliyor. Saldırganlar bu yetkiye sahip kurumlara daha doğrusu bu kurumların hesaplarına saldırıyor. Örneğin bir sigorta acentesi, kendine ait programı var ve yetkisi bulunmakta. Saldırgan bu programdaki hesapları çalıyor ve artık kendi de verilen yetkiyi kullanabiliyor.
Bunu ticarete dökenler, her yerde bulunabilecek hazır tasarım siteler ve çok basit yazılımlarla ele geçirdikleri hesapları kendi sitelerine bağlıyorlar. Yani baştan sona devletin bir suçu veya sızıntısı yok diyebiliriz. Bu olaylar yayılmaya başladıktan sonra çoğu kuruma iki faktörlü doğrulama ve günlük sınırlı sayıda sorgu ve işlem sınırlaması getirildi. Şu an yavaş yavaş engelleniyor diyebiliriz. Vesikalığınızdan tutun tüm soy ağacınızı, tüm bilgileri alabilecek şekilde erişebilenler var. YouTube'da aratırsanız denk gelebilirsiniz zaten.
Sorusu olan varsa yanıtlayabilirim. Bu konuda veya başta web Security olmak üzere genel sanal güvenlik anlamında. Bu konudan herhangi bir şekilde tehdit alan mağdur olan varsa karşı tarafın hangi sistemi neyi kullandığını öğrenip direkt savcılığa versin. Hatta önce para gönderip daha sonra şu hesaba attım diye şikayette bulunursanız daha iyi. Çünkü sizle iletişime geçtikleri uygulamalar log vermiyor. Aradıkları numaralar açık hat oluyor. Karşı tarafı takip edebileceğiniz bir açık bulduktan sonra gerekli şikayetleri yapmaktan çekinmeyin.
Öncelikle 2016 yılında yapılan sızıntıyla alakası yok güncel durumun. O tarz bir sızıntı 6 sene önce dahi sadece içeriden müdahale ile mümkündü. Yani herhangi bir grup saldırıda bulunup bu verileri elde etmemişti. Şu an olan olay ise; mernis denilen nüfus kurumu, bazı kurumlara yetki veriyor. Bunlar hastane, e-Okul gibi ya da özel yani sigorta acentesi veya benzeri kurumlar olabiliyor. Bu yetki sayesinde kurum, ismini yazdığı kişilerin bilgisini alabiliyor. Saldırganlar bu yetkiye sahip kurumlara daha doğrusu bu kurumların hesaplarına saldırıyor. Örneğin bir sigorta acentesi, kendine ait programı var ve yetkisi bulunmakta. Saldırgan bu programdaki hesapları çalıyor ve artık kendi de verilen yetkiyi kullanabiliyor.
Bunu ticarete dökenler, her yerde bulunabilecek hazır tasarım siteler ve çok basit yazılımlarla ele geçirdikleri hesapları kendi sitelerine bağlıyorlar. Yani baştan sona devletin bir suçu veya sızıntısı yok diyebiliriz. Bu olaylar yayılmaya başladıktan sonra çoğu kuruma iki faktörlü doğrulama ve günlük sınırlı sayıda sorgu ve işlem sınırlaması getirildi. Şu an yavaş yavaş engelleniyor diyebiliriz. Vesikalığınızdan tutun tüm soy ağacınızı, tüm bilgileri alabilecek şekilde erişebilenler var. YouTube'da aratırsanız denk gelebilirsiniz zaten.
Sorusu olan varsa yanıtlayabilirim. Bu konuda veya başta web Security olmak üzere genel sanal güvenlik anlamında. Bu konudan herhangi bir şekilde tehdit alan mağdur olan varsa karşı tarafın hangi sistemi neyi kullandığını öğrenip direkt savcılığa versin. Hatta önce para gönderip daha sonra şu hesaba attım diye şikayette bulunursanız daha iyi. Çünkü sizle iletişime geçtikleri uygulamalar log vermiyor. Aradıkları numaralar açık hat oluyor. Karşı tarafı takip edebileceğiniz bir açık bulduktan sonra gerekli şikayetleri yapmaktan çekinmeyin.
Son düzenleyen: Moderatör:
