User experience stories as Whatsapp Support
Some companies don’t give any importance and stay idle for the reported information security vulnerabilities. This Presentation includes advantages of Bug Bounty for companies information security field. User experience stories are coming from ignored reported security Vulnerabilities to Whatsapp.
Biography
Osman Doğan is currently Head of IT department in TRT World Channel. During his business life, he accomplished various projects in many different fields, such as finance, telecommunication, GSM. His works focused on Cyber Intelligence, SIEM, DLP, Log Management, Penetration Testing, Fraud and Bug Bounty.
Beside his corporate life, he played roles actively in many communities and managed logyonetimi.com and GAIS (Security Vulnerability Intelligence Service). He managed to enter the list of Hall Of Fame by reporting the security vulnerabilities of many prestigious companies like Microsoft, Apple, Yandex, Nokia, Ebay and Whatsapp.
Whatsapp adına verilen kullanıcı destek hikayeleri
Sunum Bug Bounty’nin güvenlik sektörüne ve firmalara olan kazanımlarını içerir. Buna Bug Bounty programına dahil olmayan Whatsapp’ın kendisine bildirilen güvenlik açıklarına kayıtsız kalması, zaafiyetin detayının anlatılması ve Whatsapp adına verilen kullanıcı destek hikayeleri de dahildir.
Biyografi
Osman Doğan hali hazırda TRT World IT Manager olarak görevine devam etmektedir. İş hayatı boyunca finans, telekom, gsm ve çeşitli sektörlerde bilgi güvenliği konusunda çalışmalar yapmıştır. Yaptığı çalışmalar Cyber Intelligence, SIEM, DLP, Log Management, Penatration Testing, Fraud ve Bug Bounty alanlarında yoğunlaşmıştır.
İş hayatının yanında bir çok community’de aktif olarak rol almış ve logyonetimi.com ile GAIS (Güvenlik Açığı İstihbarat Servisi) projelerini yürütmüştür. Microsoft, Apple, Yandex, Nokia,Ebay ve Whatsapp gibi firmaların güvenlik zaafiyetlerinin bildirerek Hall Of Fame listelerine girmiştir.
5. Bug Bounty ?
Firmalar müşterilerine sundukları uygulama, hizmet ve servisleri kendi kurumsal
web sitelerinden veya bu konuda hizmet veren platformlarda (Bugcrowd,
Hackerone, GAİS) yayınlayarak, güvenlik uzmanları ve meraklıların analizine
tabi tutmasıdır. Tespit edilen ve raporlanan güvenlik açıklarının karşılığında,
zafiyetin kritiklik seviyesine göre para ödülü, HOF, uçuş mili veya küçük çapta
hediyeler verilmektedir.
7. Onay Süreci
Kendini ikna ;)
Firma yetkilisini ikna
Hazırlanan raporun gönderilmesi ve mail trafiği
Kabul veya Red (Sizden önce gönderilmiştir, Kapsam dışı)
Firmanın zafiyeti kapatması ve ödül gönderim süreci
Zafiyetin Duyurulması
13. Son Kullanıcı Açısından Kazanım
Kişisel ve finans bilgilerimizin
bulunduğu platforma olan
güvenin artması
Bilgi Güvenliği farkındalığı
Proje maliyetlerini en aza indirme
(Mitel, Quicklink)
15. Prestij ve müşteri memnuniyeti
Bilgi Güvenliği harcamalarının azaltılması
Bilinmeyen güvenlik açıkları ve sızıntıların tespit edilmesi
Güvenlik firmalarına olan bağımlılığının azalması
Firmalar Açısından Kazanımlar
29. Neler Yapılabilirdi ?
Whatsapp sunucularından elde edilen bilgiler satılabilir veya illegal kullanıma
sunulabilirdi
Sunucu üzerindeki passwd ve log dosyalarından elde edilen bilgiler ile erişim
sağlanarak, hizmet kesintisine sağlanabilirdi
Support sayfasından ulaşan kullanıcı talepleri suiistimal edilerek maddi kazanç
sağlanabilirdi
1 hafta boyunca kullanıcılara verilecek mesajlar ile firma prestij kaybına
uğratılabilirdi
30. Sonuç
19 milyar dolarlık bir firmanın LFI, Yetkisi Erişim ve Default parola kullanımını
Bildirilen güvenlik açıklarının kapatılmasında ve aksiyon alınmasındaki duyarsızlığı
Whatsapp gibi mesajlaşma uygulamaları devletler ve istihbarat örgütleri için
büyük önem taşıyor
Bu yüzden kullandığınız uygulama ve güvenlik seviyesi, ne olursa olsun dikkatli
olmada fayda var.
Bilgi güvenliğinin en önemli unsuru insandır…
