btbilgi

Gmail ve Netflix normalde güvenlik açığı olmayan iki sistemin bir araya gelerek, bir güvenlik açığı oluşturmalarına örnek olacak bir olaya neden oldular. İki servisi de kullanan bir kişi, Gmail’in kullanıcılar için iyi bir özellik olduğu konusunda ısrar ettiği “noktalar önemli değil” özelliği sebebiyle, kart bilgilerini başka birinin Netflix hesabına eklemesine neden olabilecek bir e-posta almış ve bu durumun yeni bir kimlik avı dolandırıcılığı yöntemi olarak kullanılabileceğini fark etmiş.

Açığı farkeden uygulama geliştirici James Fisher, 2013 yılında jameshfisher@gmail.com adresini kullanarak Netflix’e kaydolmuş. Farklı bir eyalette benzer bir ada sahip bir kişi de, Gmail’in “noktalar önemli değil” özelliği sebebiyle jameshfisher@gmail.com adresiyle aynı kabul ettiği james.hfisher@gmail.com adresini Netflix’e kaydolmak için kullanmış. Faturalandırmada bir şeyler ters gittiğinde, Netflix sistemi adresin noktalı versiyonunun arkasında başka birinin olduğunu bilmeden, gerçek Fisher’a e-posta göndererek kredi kartı bilgilerini yenilemesini istiyor.

Bir şeylerin yanlış olduğunu fark ettiğinde, kredi kartı numarasını yenilemesine- daha doğrusu bir başkasının Netflix hizmeti için ödeme yapmasına – saniyeler kalan Fisher yaşadığı olayı şöyle anlatıyor: “E-posta gerçekten netflix.com’dan geliyordu, bu yüzden bağlantıya tıkladım. Oturum açıldı ve beni gerçekten netflix.com’da barınan ‘Kredi veya Banka Kartını Güncelle’ sayfasına götürdü. Burada herhangi bir kimlik avı yok. Ama bekleyin, ‘Güncelleme’ sayfası reddedilen kartımı **** 2745 olarak gösterdi. Bu tanımadığım bir kart numarası. Kayıtlarımı kontrol ettim, bu kart numarasını daha önce hiç görmedim. Neler oluyor? Sonunda bu e-postanın aslında james.hfisher@gmail.com adresine gönderildiğini anladım. Normalde ise hiçbir nokta olmadan jameshfisher@gmail.com e-posta adresini kullanıyorum. Bu e-postanın geri döneceğini düşünebilirsiniz, ancak bunun yerine benim gelen kutuma ulaştı. Çünkü Gmail adreslerinde ‘noktalar önemli değil’.”

Gmail adreslerinde nokta işaretlerinin önemi bulunmuyor. Birisi size e-posta gönderirken adresinize yanlışlıkla nokta eklerse söz konusu e-posta yine de size teslim edilecek şekilde sistem ayarlanmış. Örneğin, e-posta adresiniz mehmetdemir@gmail.com ise adresinizin tüm noktalı sürümlerine sahipsiniz demektir:

mehmet.demir@gmail.com
meh.met.de.mir@gmail.com
m.e.h.m.e.t.d.e.m.i.r@gmail.com

Netflix kayıt sırasında kullanıcının e-posta adresini doğrulamak için tasarlanmış. Ancak kayıt sırasında başka birinin adresini kullanmak hesabın kontrolünü o kişiye devredebiliyor. Konuyla ilgili bir açıklama yapan siber güvenlik firması Bitdefender’ın uzmanları, asıl sorunun Gmail’in “noktalar önemli değil” özelliğinde olduğuna inanıyor. Kullanıcıların sonsuz alternatifli bir e-posta adresleri setini istemeyeceğine dikkat çekiliyor. Hatta kullanıcıların bir çoğu da bu adreslere sahip olduklarının farkında bile değil. Kendi sonsuz adres kümelerinin farkında olan Gmail kullanıcıları bile, bunların ortaya çıkarabileceği dolandırıcılıklardan habersiz denilmekte.

Siber güvenlik uzmanlarına göre bu durum, iki hizmet arasındaki uyumsuzluğun standart bir kimlik avı dolandırıcılığı için kullanılabileceğini gösteriyor. Bu şekilde bir kullanıcının Netflix üyeliği için başka birini kandırıp ödeme yaptırması mümkün ve kolay. Fakat durumun doğası gereği, iki hizmetveren de bu konu için tam olarak suçlanamıyor.

Yorumlar
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.