Zonguldak Bülent Ecevit Üniversitesi (BEUN) Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü 4. sınıf öğrencisi 22 yaşındaki Yusuf Nas, NASA’nın sistemlerinde kullanıcıların kendi hesaplarından başka hesaplara erişim sağlamalarına olanak tanıyan bir güvenlik açığını ortaya çıkardı.
Nas, durumu NASA’ya bildirdikten sonra, üç ay boyunca gerekli ek bilgileri sunarak NASA Siber Güvenlik ekipleriyle koordineli bir şekilde çalıştı. Öğrencinin katkıları sayesinde söz konusu zafiyet kapatıldı.
Tespit ettiği açığın veri ihlali riski taşıdığı belirlendikten sonra Nas’a bir takdir mektubu gönderildi ve adı NASA’nın onur listesine eklendi.
“NASA’nın zafiyet kapatma aşamasına aslında yardım ettim”
Yusuf Nas, olayla ilgili olarak yaptığı açıklamada, yaklaşık 3 yıldır siber güvenlik alanında aktif olarak çalıştığını ifade etti. Bulduğu açığın “Account takeover” (Hesap devralma) olarak adlandırıldığını aktaran Nas, bu durumun erişimi olmayan hesaplara erişim sağladığını vurguladı.
Nas, bahsettiği açığın “farklı hesabı çalmak” şeklinde ifade edilebileceğini belirtti. “Zero click” zafiyeti türünden bahseden Nas, bunun karşı tarafın herhangi bir işlem yapmadan hesabının ele geçirilmesi anlamına geldiğini dile getirdi. Kendisi tarafından tespit edilen açığın ise kullanıcıların hiçbir tıklama yapmasına gerek kalmadan hesap devralma zafiyeti olduğunu açıkladı.
Bulduğu açığın kritik bir seviyede değerlendirilmesi üzerine NASA’nın belirli politikalar uyguladığını ifade eden Nas, sistemdeki zafiyetleri bildiren araştırmacılara ödüller verildiğini belirtti. Haziran ayında raporunu NASA’ya sunduğunu ve yapılan inceleme sonrasında açığın geçerli bulunarak üç ay süren bir süreçte ek bilgi taleplerine olumlu yanıt verdiğini söyledi.
“Öğrenciyken takdir mektubu almam beni çok mutlu etti”
Yusuf Nas, tespit ettiği açığın NASA’nın kullanıcı kayıt sistemiyle ilgili olduğunu, bu güvenlik açığı sayesinde kullanıcıların adres, e-posta, ad-soyad ve telefon numarası gibi hassas verilere erişim sağlandığını ifade etti. Ayrıca, farklı hesapların açığı kullanarak bu tür bilgileri ele geçirebileceğini vurguladı.
Açığın zaman zaman kapatıldığı bildirildiğini ancak yeniden tetiklendiğini gözlemlediğini aktaran Nas, bu nedenle zafiyetin tamamen ortadan kaldırılması için farklı yöntemlerin izlenmesi gerektiğini belirtti. Bu süreçte üniversitesinin kendisine destek olduğunun altını çizen Nas, daha önce farklı firmalarda zafiyetler tespit edip ödüller aldığını ancak NASA’dan aldığı onur mektubunun manevi bir değer taşıdığını ifade etti.
“Gurur verici başarıya imza atan değerli öğrencimizi canıgönülden tebrik ediyorum”
Zonguldak BEUN Rektörü Prof. Dr. İsmail Hakkı Özölçer, Nas’ın başarısının üniversite için olduğu kadar ülke adına da gurur verici olduğunu belirtti. Cumhuriyetin ilk üniversitelerinden biri olan Zonguldak BEUN’un bilimsel üretim ve genç yeteneklerin yetişmesi konusunda her geçen gün daha da güçlenerek ilerlediğini ifade etti.
Özölçer, Yusuf Nas’ın NASA gibi prestijli bir kurum için siber güvenlik zafiyetlerini tespit etmesinin üniversitenin bilimsel altyapısının ve eğitim kalitesinin önemli bir göstergesi olduğunu vurguladı. Öğrenciyi başarılarından dolayı tebrik eden Özölçer, gençlerin teknoloji, bilişim ve savunma sanayisi gibi stratejik alanlarda yetiştirilmesinin ülkenin geleceği açısından büyük önem taşıdığını da ekledi.
