Tesla, Sunucularındaki Bir Yanılgıyı Bulana 10.000 Dolar Verdi
ABD’li elektrikli araba üreticisi Tesla, geçtiğimiz vakitlerde Microsoft SQL Server Reporting Services’ta (SRSS) karşılaştığı bir güvenlik açığı …
ABD’li elektrikli araba üreticisi Tesla, geçtiğimiz vakitlerde Microsoft SQL Server Reporting Services’ta (SRSS) karşılaştığı bir güvenlik açığı nedeniyle şirket için epey az sayılabilecek bir ölçü ödemede bulundu. Ödeme, güvenlik açığını keşfeden şahsa aktarıldı.
SRSS, bahsedeceğimiz güvenlik açığı ortaya çıkmadan sadece beş gün evvel bir güncelleme aldı. Ortaya çıkan güvenlik açığı, sunucuda oluşan bir yanılgı sonucunda uzaktan kod düzenlemelerine müsaade veriyordu. Alman yanılgı avcısı “parzel” tarafından keşfedilen kusur, Tesla’nın partnerleri için olan sunucuda kendisini gösterdi.
SRSS'teki güvenlik açığı daha evvel de öteki birisi tarafından paylaşılmıştı:
CVE-2020-0618 olarak isimlendirilen güvenlik açığı,14 Şubat’ta bir güncelleme almıştı. Alman avcı parzel ise bu güncellemeden dört gün sonra keşfettiği güvenlik açığını, güvenlik platformu olan Bugcrowd üzerinden paylaştı. parzel, bu açığı Tesla’nın domain'lerini dolaşarak keşfetti.
Yanılgı avcısı, bu güvenlik açığını keşfettikten sonra parmak izi olarak kullanılabilecek kimi dizgileri kaynak koddan çıkardı. Daha sonra bu dizgilerin Tesla’nın domain'leriyle uyuşup uyuşmadığını denetim etti. Tesla, parzel’in bildirisine güvenlik açığını kabul ederek ve onu 10.000 dolarla ödüllendirerek cevap verdi. Tesla, güvenlik açığının ortaya çıkmasıyla birlikte kusurlu SQL servisini çevrimdışı yaptı.
MDSec araştırmacısı Soroush Dalili, CVE-2020-0618 isimli güvenlik açığını daha evvel Microsoft’a bildirmişti. Dalili, 11 Şubat günü, yani Microsoft’un güncellemesinden üç gün sonra bu güvenlik açığı hakkında birtakım teknik ayrıntıları paylaşarak bu güvenlik açığından nasıl yararlanabileceğini de aktarmıştı.
MDSec araştırmacısı tarafından yayınlanan raporlar, parzel için epey kullanışlı oldu ve Tesla’nın sunucusundaki bu güvenlik açığını bulmasına yardım etti. Aslında kendisi de Twitter üzerinden yaptığı bir paylaşımda Dalili’nin paylaştığı rapor için kendisine teşekkürlerini de iletti.
Güvenlik açığından kurtulan Tesla, şirketin büyüklüğü düşünülünce aslında parzel’e biraz düşük ölçüde ödül vermiş diyebiliriz. Lakin bu açığın bulunmasındaki zorluğu ve ayrıntıların zati daha evvel paylaşılmış olduğunu düşününce ödül ölçüsünün kâfi olduğunu söyleyebiliriz.