Turkcell HotSpot Güvenlik Açığı

bir suser arkadaşın talebi üzerine ve deneyimlediğim bilgiler doğrultusunda turkcell mobil hat sahiplerinin hotspot özelliğini kullandıklarında oluşan güvenlik açığıdır.

şöyle ki; tanıdığınız veya tanımadığınız herhangi birine hotspot üzerinden internet erişimi sağladığınız andan itibaren karşıdaki kişi, herhangi bir internet tarayıcısı üzerinden turkcell'in mobil internet sayfasına giriş yaptığında direkt olarak sizin hesabınıza giriş yapmış oluyor. bu sayede size ait tüm kullanıcı ve kimlik bilgilerinize erişim sağlayabiliyor, kredi kartı bilgileriniz daha önce turkcell'de tanımlıysa kendisine herhangi bir ürünü sipariş edebiliyor, bir başkası adına fatura ödeyebiliyor kredi kartı bilgileriniz gerekmeksizin paketinizi değiştirebiliyor veya ek paket satın alabiliyor. kısacası dijital operatörden yapabildiğiniz tüm işlemleri yapabiliyor.

bu açık sadece mobil internet sitesi üzerinden ulaşılmıyor. gnç ve dijital operatör uygulamasından zaman zaman aksaklık yaşansa da ulaşılabiliyor. diyelim ki kısa süre içinde bir bağlantı gerçekleşti sonra bağlantıyı kapattınız fakat hesap hala karşı tarafın telefonunda aktif halde duruyor. sadece bir kez bağlantı kurmak yeterli oluyor.

suser arkadaş durumu turkcell müşteri hizmetleri dikkate almadığından linkedin üzerinden ceo murat erkan'a iletmiş. oradan güvenlik açığı test uzmanına yönlendirilmiş. test uzmanı geçtiğimiz pazartesi günü suser arkadaşla telefon görüşmesi yapmış açığı nasıl bulduğunu ispatlamasını talep etmiş tabi suser de bir ödüllendirme durumu varsa anlatacağını belirtmiş. belirli risk gurubu içerisine ve sınıflandırılması yapıldığı taktirde ödüllendirme olacağını ellerinden ne geliyorsa yapacağını belirtmiş. görüşme yapılan gün ispatlı şekilde her şey kanıtlanmış sözde test süreçlerinin 1 veya en fazla 2 gün süreceğini belirten ve hatta bu durumu daha da hızlandıracağını belirten test uzmanı aradan 5 gün geçtikten sonra geri dönüş yapmış ve hotspotu sadece güvendiğiniz kişilere açın, güvenmediğiniz kişilerle paylaşım yaptığınız taktirde bir risk veya güvenlik açığı unsuru taşımadığını ve zaten kendilerinin bu durumdan haberdar olup üzerinden çalıştıklarını belirtmiş. bu durumu tespit edip ilk bize ulaştırdığınız için de teşekkür etmiş hotspot'un sadece mobil veri paylaşımı sanan test uzmanı.

tüm kamusal veya açık alanda hotspot üzerinden sağlanan internetlere hepimizin erişimi var. mobil bağlantı üzerinden bir kapı varsa bu kapının çok çilingiri olur diyorum. bu hattı kullananların allah yardımcısı olsun diyorum.

yoo, olmuyor öyle bir şey

turkcell zaten biliyor hotspot yaptığını, örneğin youtube yönüne internetin varsa hotspot yapıp youtubea girersen her yöne internetini yer. otomatik girişe izin vermez hotspot kullanıcılarına. digital operatörde normalde de yok zaten otomatik giriş. sipariş olayı falan olmaz yani kullanım detayında bile ekstra sms istiyor adamlar.

hotspot yaparak değil de bir ara bana değişik kişilerin bilgileri çıkmıştı turkcell.com.tr sitesinde, ayrıca bunların bip'lerine de girdim otomatik olduğu için.

bence dediğim şeyle çok alakasız bir yorumda bulunmuşsunuz.

şuan turkcell hat üzerinden herhangi birisinin internetine bağlanın telefonunuzla ( sizin hattınız diğer 3 operatörden biri olabilir ) sonra herhangi bir internet tarayıcısı ( chrome safari mozilla opera aloha microsoft edge ) bunlardan birinin arama kısmına turkcell yazıp ilk m.turkcell yani mobil siteye giriş yaptığınız karşınıza internetinize bağlandığınız kişinin hesabı çıkacaktır.

nesi alakasız? çıkmıyor diyorum ben de, turkcell kullanıyorum paylaşıyorum diğer telefondan giriyorum öyle bir durum yaşamıyorum.

edit: dün olmamıştı jazzalyn de aynı şeyi yazınca tekrar deneyeyim dedim. Bu sefer dediğiniz gibi oldu.

@Jazzalyn evet bahsettiğim şey bu. yukarıda bahsettiğim şeyleri bu yolla yapabiliyorsunuz

kredi kartı bilgileriniz mevcutsa istediğiniz kişi adına cihaz alabiliyorsunuz. kredi kartı gerekmeksizin ek paket yapabiliyorsunuz yada değiştirebiliyorsunuz.

hotspot kapatınca değişen bir şey olmuyor. yine kişi sizin hesabınızda istediği her şeyi yapıyor.

bu bahsedilen husus bir güvenlik açığı değildir, bağlantı ilgili hattan geldiği için ek güvenlik prosedürüne ihtiyaç yoktur, siz güvenmediğiniz alakasız kişilere hattınızı paylaşarak kendi sorununuzu kendiniz yaratmışsınız, adı üstünde kişisel erişim noktası, ayrıca hadi bu konuyu turkcell kapadı, paylaşım yaptığınız güvenmediğiniz kişi tehlikeli sorunlu faaliyetler yaptı terör porno vb o zaman ne yapacaksınız?