Hollandalı Dirk-jan, Microsoft'un güvenlik sorununu keşfetti

"Ekrana bakıyordum ve sadece, "Bu olamaz. Bu işe yaramıyor..." diye düşündüm.

Dirk-jan Mollema, yeni keşfettiği hatanın ciddiyetini fark ettiğinde ilk başta inanmazlıktan geliyor. Sonra işin ciddiyeti ortaya çıkıyor. "Böyle bir şey yapmak istemiyorum; bu sorumluluğu almak istemiyorum."

Mollema'nın keşfettiği kusur, Microsoft Entra Kimlik hizmetinde. Bu, Azure bulut hizmeti ve Microsoft 365 ofis paketi de dahil olmak üzere diğer Microsoft ürünlerine giriş yapmak için kullanılan bir kimlik doğrulama hizmeti.

Mollema, diğer kullanıcılar adına oturum açıp işlem yapmanın yeni bir yolunu buldu. "Aslında Microsoft'un kendi iç kullanımına yönelikti. Ama ben de kullanabilirdim."

Ve bu giriş yönteminin önemli bir kusuru vardı: Sisteme gerçekten erişmeniz gerekip gerekmediğini kontrol etmiyordu. Bu sayede, bir bilgisayar korsanı herhangi bir şirketin Microsoft sistemlerine erişebiliyordu.

Mollema, "Örneğin, orada kimin çalıştığını ve verilerinin ne olduğunu görebiliyorsunuz," diyor. "Ve tüm bunları hiçbir iz bırakmadan yapabiliyorsunuz."

Daha da kötüsü: Bir bilgisayar korsanı kendini yönetici yapıp her türlü değişikliği yapabilir. Mollema, "Böylece diğer yöneticiler yeni bir kullanıcı olduğunu görecek, yani gizlice gerçekleşen bir şey olmayacak," diyor. Ancak bu şekilde, bir bilgisayar korsanı şirketin tüm e-postalarına ve dosyalarına erişebilir. "Yani, her türlü kişisel veriye de."

Aşağıdaki videoda teknoloji muhabiri Wouter van Dijke, Microsoft'taki hatanın sonuçlarını açıklıyor:

Mollema hatayı fark ettiğinde hemen Microsoft'a bildirdi. "Sanırım bu şimdiye kadar yazdığım en hızlı rapor. Hemen anladım: Bunun mümkün olan en kısa sürede düzeltilmesi gerekiyordu. Bu yüzden iki saat içinde bildirdim."

Microsoft da raporu çok ciddiye aldı. "Sorunu rekor sürede çözdüler. Sonuç olarak, üç gün içinde dünya çapında bir çözüm sundular. Microsoft gibi büyük bir şirket için bu gerçekten çok hızlı bir süre."

Durumun ciddiyeti, Microsoft'un hataya maksimum puan olan 10 üzerinden puan vermesi uyarısından da anlaşılıyor.

Bir güvenlik sorunu keşfedip Microsoft'a bildiren herkes ödül kazanabilir. Bu sözde hata ödülleri en az 100.000 dolara (85.000 avro) ulaşabiliyor. Mollema, Microsoft'un kendisine ne kadar ödediğini söylemeyi reddetti. "Ama kesinlikle bir hata ödülü var. " verildi."

Mollema'nın raporu sayesinde Microsoft, güvenlik açığını hızla düzeltebildi. Başkalarının aynı sorunu keşfettiği veya hatta bundan faydalandığı görülmüyor. Mollema: "Microsoft bunu araştırdı ve herhangi bir kötüye kullanım görmediklerini söylüyorlar. Bunun doğru olduğunu varsayıyorum. Ama asla tamamen emin olamazsınız."

Mollema, Microsoft hizmetlerini kullanan şirketlerin artık endişelenmesine gerek olmadığını söylüyor. "Bu sorun gerçekten Microsoft'un hatasıydı. Bir şirket olarak bu konuda yapabileceğiniz hiçbir şey yoktu. Esasen, şirketlerin herhangi bir işlem yapmasına gerek yok, çünkü Microsoft bu sorunu kendi taraflarında çözdü."

Bir saldırının etkisi büyük olabilir. Sandra, bu videoda verilerinin bir tıp laboratuvarından sızdırıldığını şöyle açıklıyor: