***Gelişme 2 Editi***: İletişim mailimi istediler, Pazartesi günü A*** Ö*** Bey'e bulduğum açıkları ileteceğim; kendileri kontrol sağlayıp dönüş yapacaklarını tahmin ediyorum. İyi ya da kötü düşüncelerini belirten herkese teşekkür ederim.
****Gelişme Editi***: Evet arkadaşlar, Hepsiburada App Security ekibinden bir mail aldım. Bana, "Tespit ettiğiniz bulguları, testi gerçekleştirdiğiniz kullanıcı bilgilerini bizlere detaylı bir rapor halinde ilemenizi rica edeceğiz. Gerekli incelemelerden sonra sizlere dönüş yapılacaktır." şeklinde bilgi verildi. Ben de kendilerine kiminle görüştüğümü ismen öğrenmek istediğimi ve detaylı raporu sunmak için ilgili bug'u tekrar kullanacağım için izinlerini istedim ve mail olarak gönderdim. Gelecek cevaba göre istedikleri raporu sunacağım. Bu saatten sonra isteklerim yerine getirilsin de getirilmesin, önemli değil. Benim için önemli olan ciddiye alınmaktı. Gelişmeleri tekrar editleyeceğim.
**Entry Başlangıcı**: Merhaba sözlük, öncelikle böyle bir başlıkla alakalı sizlerin vaktinizi aldığım için özür dilerim. Bir süredir uğraşlarım neticesinde Hepsiburada.com adlı e-ticaret sitesinin bazı açıklarını (buglarını) bulmuş bulunmaktayım. İlgili site ile alakalı kayda değer iki tane bug (açık) söz konusu:
1-) Birinci açık (bug), Hepsiburada sitesinden herhangi bir ücret ödemeden alışveriş yapılabilmektedir. Biraz daha detay vermem gerekirse, herhangi yazılımsal kodsal bir müdahaleye gerek kalmadan ilgili sitenin uygulamasından bazı tekrarları yaparak ürün satın alımınızda para vermenize gerek kalmıyor. Bu alışverişin üst limiti 4 haneli TL değerinde alışveriş yapabilmektedir. İlgili açıkların kimler tarafından kullanıldığı ve Hepsiburada'nın ne kadar suistimal edildiği hakkında bilgi sahibi değilim, ancak bu tür açıkların birilerinin haberleri olduğunu tahmin ediyorum.
2-) İkinci açık çok detaylı ve anlatması güç olduğu için bu konuda detay vermek istemiyorum. Bu başlığı açma amacım, Hepsiburada'ya bu konuyla ilgili ulaşmaya çalıştım fakat başarılı olamadım. Sözlüğün gücü sayesinde en yetkili kişiye ulaşabileceğimi düşünüyorum. Normalde bu tür açıklar için ödül sistemi mevcut olur, ancak maddi bir ödül talebim yok. İki talebim var:
1-) Hepsiburada şirketinde home-office ağırlıklı çalışabileceğim, sigortalı bir iş ve bu işe girdiğimde iki aylık maaşımı avans olarak alabilmek.
2-) İkinci talebim, bulduğum bug'dan ve verdiğim siparişlerden dolayı suçlama ve dava açılmasını istemiyorum.
Not: Bu tür sitelerde genellikle sistem açıkları 4 aşamaya ayrılır. Örneğin bir banner hatası bile bir açık sayılır ancak bu açık, finansal duruma etki ettiği için en riskli açık grubunda yer alır. Konu ile alakalı gelişmeleri buradan editleyerek siz değerli sözlük kullanıcılarına ileteceğim. İletişim mail adresim: [email protected]
Edit1: Bazıları yalan attığımı, bazıları taleplerimi abartılı bulduğunu söylemiş. Yalan söylemek gibi bir amacım yok. Hepsiburada bana ulaştığında hazırladığım ekran kayıtları ile bug'u sunacağım. Taleplerim abartılı bulunabilir, ancak herkesin bir beklentisi olabilir. Yine de herkese destekleri için teşekkürler.
Edit2: Bulduğum açıkla ilgili siz değerli sözlük kullanıcılarına detay vermek istiyorum. Bahsettiğim açık, sistemsel bir hata ve suistimal için verilere sızmak gerekmeyen bir durum. Kodlama esnasında yapılan yanlış hesaplamalardan dolayı Hepsiburada uygulamasında bakiye oluşturulabiliyor.
Edit3: Açığı paylaşmak amacıyla bu başlığı açmadım. Amacım, şirkete bu açığı ileterek çözüm bulmalarını sağlamaktı. Bu nedenle bu tür mesajlara yanıt vermiyorum.
Edit4: Beni düşünmek amacıyla yapılan yorumları okuyorum. Endişe etmeyin, başım belaya girmeyecek. Hedefim hack ya da sistemi bozmak değil sadece bulduğum açığı test etmekti. Her şey şeffaf ve açıkça ifade ettim.
****Gelişme Editi***: Evet arkadaşlar, Hepsiburada App Security ekibinden bir mail aldım. Bana, "Tespit ettiğiniz bulguları, testi gerçekleştirdiğiniz kullanıcı bilgilerini bizlere detaylı bir rapor halinde ilemenizi rica edeceğiz. Gerekli incelemelerden sonra sizlere dönüş yapılacaktır." şeklinde bilgi verildi. Ben de kendilerine kiminle görüştüğümü ismen öğrenmek istediğimi ve detaylı raporu sunmak için ilgili bug'u tekrar kullanacağım için izinlerini istedim ve mail olarak gönderdim. Gelecek cevaba göre istedikleri raporu sunacağım. Bu saatten sonra isteklerim yerine getirilsin de getirilmesin, önemli değil. Benim için önemli olan ciddiye alınmaktı. Gelişmeleri tekrar editleyeceğim.
**Entry Başlangıcı**: Merhaba sözlük, öncelikle böyle bir başlıkla alakalı sizlerin vaktinizi aldığım için özür dilerim. Bir süredir uğraşlarım neticesinde Hepsiburada.com adlı e-ticaret sitesinin bazı açıklarını (buglarını) bulmuş bulunmaktayım. İlgili site ile alakalı kayda değer iki tane bug (açık) söz konusu:
1-) Birinci açık (bug), Hepsiburada sitesinden herhangi bir ücret ödemeden alışveriş yapılabilmektedir. Biraz daha detay vermem gerekirse, herhangi yazılımsal kodsal bir müdahaleye gerek kalmadan ilgili sitenin uygulamasından bazı tekrarları yaparak ürün satın alımınızda para vermenize gerek kalmıyor. Bu alışverişin üst limiti 4 haneli TL değerinde alışveriş yapabilmektedir. İlgili açıkların kimler tarafından kullanıldığı ve Hepsiburada'nın ne kadar suistimal edildiği hakkında bilgi sahibi değilim, ancak bu tür açıkların birilerinin haberleri olduğunu tahmin ediyorum.
2-) İkinci açık çok detaylı ve anlatması güç olduğu için bu konuda detay vermek istemiyorum. Bu başlığı açma amacım, Hepsiburada'ya bu konuyla ilgili ulaşmaya çalıştım fakat başarılı olamadım. Sözlüğün gücü sayesinde en yetkili kişiye ulaşabileceğimi düşünüyorum. Normalde bu tür açıklar için ödül sistemi mevcut olur, ancak maddi bir ödül talebim yok. İki talebim var:
1-) Hepsiburada şirketinde home-office ağırlıklı çalışabileceğim, sigortalı bir iş ve bu işe girdiğimde iki aylık maaşımı avans olarak alabilmek.
2-) İkinci talebim, bulduğum bug'dan ve verdiğim siparişlerden dolayı suçlama ve dava açılmasını istemiyorum.
Not: Bu tür sitelerde genellikle sistem açıkları 4 aşamaya ayrılır. Örneğin bir banner hatası bile bir açık sayılır ancak bu açık, finansal duruma etki ettiği için en riskli açık grubunda yer alır. Konu ile alakalı gelişmeleri buradan editleyerek siz değerli sözlük kullanıcılarına ileteceğim. İletişim mail adresim: [email protected]
Edit1: Bazıları yalan attığımı, bazıları taleplerimi abartılı bulduğunu söylemiş. Yalan söylemek gibi bir amacım yok. Hepsiburada bana ulaştığında hazırladığım ekran kayıtları ile bug'u sunacağım. Taleplerim abartılı bulunabilir, ancak herkesin bir beklentisi olabilir. Yine de herkese destekleri için teşekkürler.
Edit2: Bulduğum açıkla ilgili siz değerli sözlük kullanıcılarına detay vermek istiyorum. Bahsettiğim açık, sistemsel bir hata ve suistimal için verilere sızmak gerekmeyen bir durum. Kodlama esnasında yapılan yanlış hesaplamalardan dolayı Hepsiburada uygulamasında bakiye oluşturulabiliyor.
Edit3: Açığı paylaşmak amacıyla bu başlığı açmadım. Amacım, şirkete bu açığı ileterek çözüm bulmalarını sağlamaktı. Bu nedenle bu tür mesajlara yanıt vermiyorum.
Edit4: Beni düşünmek amacıyla yapılan yorumları okuyorum. Endişe etmeyin, başım belaya girmeyecek. Hedefim hack ya da sistemi bozmak değil sadece bulduğum açığı test etmekti. Her şey şeffaf ve açıkça ifade ettim.