Para Aktardığın Yere Gider

Bugün Coinbase sitesindeki bir zafiyetin 250 bin dolar ödül aldığını okudum. Gözümde bizim de yaptığımız bazı pentestler canlandı. Henüz yine sahaya yeni çıktığım dönemlerdi. Bitcoin alım satım işinden oldukça yüklü para kazanmış genç bir arkadaş bir bitcoin alım satım sitesi açmıştı. Sızma testi için benimle temas kurdular.

İlk iş olarak sitenin kendisine ping attığımda IP adresinin gelmediğini gördüm, sanırım bir tür kısıtlama getirmişlerdi. Basit bir wget komutuyla IP adresini doğal olarak öğrendim. IP adresini o arkadaşa ilettiğimde oldukça şaşırmış ve nasıl bulduğumu sormuştu. Ne diyeceğimi bilememiştim.

Php tabanlı siteyi inceleyince özellikle sql sorgularında zafiyet olduğunu hissettim. Burpsuite ile kestiğim trafiği sqlmap sorgusuna atınca gerçekten veri tabanını ele geçirdiğimi anladım. Sürekli lab ortamında yaptığım bir şeyi gerçek hayatta görmek ilginç bir duyguydu.

Bir iki yıl sonra o arkadaş aklıma geldi ve hâl hatır sormak için aradım. Siteyi başka birilerine satmıştı. Ancak asıl üzücü yanı, o dönemki ortağı 500 bin dolarlık cüzdanı alıp Bulgaristan’a kaçmıştı. Kendisi ise asıl mesleği olan gözlükçülüğe geri dönmüştü. Ama ses tonundan sanki artık daha huzurlu olduğunu hissettim.

Siteyi geliştiren yazılımcı arkadaş (ki hala yakın dostumdur) sağolsun başka işler de yaptı ve onların da pentestlerini bize getirdi. Bunlardan bir tanesi hem alım satım sitesiydi hem de bir IOC projesiydi. Buradaki en ilginç zafiyetlerden bir tanesi, para aktarırken eksi değer girince bakiyenizin azalacağına artmasıydı. Diğer bir zafiyet ise bir kişinin kendi kendine para gönderebilmesinin engellenmemiş olmasıydı. Bakiye tarafında manipülasyon yapılamasa da bu da ilginç bir manipülasyon yüzeyi oluşturabilirdi.

Ödeme sistemlerindeki ciddi bir zafiyet tüm sistemin bir günde çökmesini sağlayabilir.