Büyük Yetkinlik Büyük Sorumluluk Gerektirir

Bugün müşterimizden elimize, kendilerine ait kurumsal mobil uygulamanın dosyaları geldi ve testlere başlıyoruz. Uygulama TCKN kullanarak kişileri tanımlıyor ve onlara görevler atanmasını sağlıyor. Ekip arkadaşımız uygulamanın işlevlerini incelerken, Burpsuite üzerinden TCKN’nı değiştiriyor ve kendi babasının TCKN’nı veriyor. Bir de bakıyor ki gerçekten ona ait bilgiler geliyor. Dolayısıyla binlerce kişinin verisini potansiyel olarak çekmenin mümkün olduğunu farkediyor. Sonra annesinin TCKN değeri üzerinden ona görevler atayabildiğini görüyor.

Birçok mobil uygulamanın resmi işlemlerde kullanıcıyı Mernis üzerinden onayladığını görmekteyiz. Bu yeteneğin istismar edilebiliyor olmasının her zaman akılda tutulması gerektiğine bir defa daha tanık oluyoruz.

Bu nedenle geliştirilen resmî uygulamada her zaman için TCKN yanında doğum tarihi ve memleketi gibi öngörülemez veriler de doğrulama sürecinde talep edilmelidir.