Aşı Pasaportu Uygulamasında Açık Bulundu

COVID-19‘a karşı aşıyla en tesirli uğraşın verildiği günümüzde devletler geliştirdikleri özel uygulamalarla vatandaşların aşı bilgisini ve temaslı olduğu bireylerin listesini tutuyor. Bununla birlikte kimlik, aşı, sıhhat bilgileri üzere çeşitli hassas bilgilerin de kullanılması, bu uygulamaların siber taarruza uğrama ihtimalini artırıyor. Şirketlerin güvenlik açıklarını denetleme, bulma ve doğrulama gereksinimini bünyesindeki 1000’in üzerinde bağımsız araştırmacıyla süratli ve emniyetli bir formda karşılayan BugBounter.com, Avustralya’da kullanılan uygulamada bu ihtimalin gerçekleşmesine neden olacak bir açığın bulunmasının akabinde hassas dataların depolandığı uygulamaları maksat alabilecek muhtemel siber akınların yıkıcı sonuçlarına dikkat çekiyor.

Avustralya’da yaşanan, her ülkede gerçekleşebilir

Bir güvenlik araştırmacısı, Avustralya hükümetinin geliştirdiği ve bireylerin aşı bilgilerini otomatik olarak kullanan dijital aşı pasaportu uygulamasında kendisinin aşı bilgisini kolay kolay değiştirmesini sağlayan bir açık buldu. Dünyanın dört bir yanında devletler COVID-19’un yayılmasını yavaşlatmak için özel uygulamalar ve temas takibi yapan tahliller geliştiriyor. Vatandaşların da kafe, pazar, havaalanı, alışveriş merkezi üzere toplu alanlara girebilmek için bu uygulamaları kullanması bekleniyor.

Mevzuyla ilgili NordVPN’in gerçekleştirdiği Vaccines Passport Privacy Study araştırmasına nazaran iştirakçilerin yüzde 66’sı seyahat için zarurî tutulduğunda aşı pasaportu uygulamasını kullanabileceğini belirtiyor lakin ocak ayında gerçekleştirilen öbür bir araştırmaya nazaran iştirakçilerin yüzde 75’i bu uygulamaların güvenliğinden tasa duyuyor.

BugBounter.com Kurucu Ortağı Murat Lostar, mevzuyla ilgili şunları söyledi: “Koronavirüs, siber saldırganların insanların endişelerinden ve zafiyetlerinden yararlanabileceği ülkü bir ortam oluşturuyor. Aşı bilgilerini ele geçirmeleri durumunda siber saldırganların aşı pasaportlarına ve kimlik çiplerine erişmeleri mümkün oluyor. Bu yüzden kamu yöneticilerinin ve bu cins uygulamaların geliştirilmesinde rol alan şirketlerin potansiyel ve mevcut açıkların keşfedilmesinde en tesirli usul olan bug bounty (ödül avcılığı) programlarını tercih etmesi, onlara büyük yararlar sağlıyor. Bug bounty programları sayesinde sistemlerini muhtemel bir siber atağa karşı en uygun maliyetle, en yetenekli bireylere daima denetletebiliyorlar. BugBounter.com olarak ülkemizde öncülük ettiğimiz bu usul sayesinde birlikte çalıştığımız kurumlar yalnızca varlığı tecrübeli uzmanlar tarafından doğrulanmış güvenlik açıkları için fiyat ödüyor ve bu sayede ayırdıkları bütçeleri verimli bir formda yönetebiliyor. Ödül avcılığı programlarında güvenlik testleri için ayrılan vakit ve bütçe, yanlış bilgilerle (false positive/false negative) ve hipotez raporlarla boşa gitmiyor. Şirketler, siber güvenlik uzmanlarına vereceği mükafatı, programın takvimini ve kapsamını kendi belirleyebildiği ve her an düzenleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak denetim ettirebiliyor. Platformun güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili takımlarımız kısa mühlet içinde doğrulama süreçlerini tamamlıyor, kıymetine nazaran derecelendiriyor ve şirketin belirlediği güvenlik takımlarına iletiyor. Kapatılan açıkların denetimi de tekrar tıpkı uzmanlarca gerçekleştiriliyor.”

Hazır Barkod Sistemleri