Poloniex’de Çok Önemli Bir Güvenlik Açığı Bulundu!

Birkaç gün önce Reddit üzerinden bir kullanıcı Poloniex‘te çok ciddi bir güvenlik açığı bulduğunu yazdı. Durumu Poloniex’e bildiren kullanıcı Poloniex destek ekibinden hiç bir yanıt almadığını ve bu yüzden bulduğu açığı sattığını açıkladı.

Bu konu hakkında daha önce yaptığımız bir haberde kullanıcıların şikayetlerini dile getirmiştik. İncelemek için: Poloniex Destek Taleplerine Bakmıyor!

Kullanıcının Reddit’te yazdığı yazının tamamı:

“Poloniex’in sitesinde bir güvenlik açığı buldum. Hem hesaba girerken hem de işlem yaparken istenen 2FA sistemine gerek kalmadan bir hesaptan kripto para çekmeyi başardım. Sızdırılan veri tabanından ulaştığım bir parolaya ulaşıp kendi seçtiğim bir hesaptan çekim işlemi yaptım.

Benim hedef aldığım kişi şanslı ki çektiğim kripto paraları o kişinin kendi adresine yolladım.

Paranızı koruması için güvendiğiniz bir şirket olmasına rağmen Poloniex, bir ‘robots.txt’ dosyası bile kuramıyor ya da doğru düzgün bir 2FA sistemi yapamıyor. Kendiniz de deneyebilirsiniz.

Destek ekibinin benim yolladığım bildirimlere dönüş yapması 60 günden fazla sürdüğü için sanıyorum ki bu sorunu çözmek pek umurlarında değil. Önceden de bulduğum bugları ileterek ödül alıyordum. Poloniex’e bu bugu bildirmemden sonra 60 gün müddet tanıdım ve bu süre artık bitti. O yüzden bu durumu kamuyla paylaşma konusunda en ufak bir rahatsızlık duymuyorum.

Bu güvenlik açığından faydalanmak isteyen kişiler bana ulaşsın. Bu açığı ne amaçla kullanmak istediğinizi söyleyin. Poloniex kendi güvenliğini iplemiyor. Bu yüzden bunu okuyan herkesin Poloniex’ten paralarını çekmesini tavsiye ederim. Acilen.

Eğer 2FA kodunuzu kaybettiyseniz ve hesabınızdan para çekme işlemi gerçekleştiremiyor iseniz bana ulaşabilirsiniz. Muhtemelen bu konuda da yardımcı olabilirim.

Eğer Poloniex’in destek ekibinden biri bu yazıyı okuyorsa: Eğer finansal bir kurum olarak ciddiye alınmak istiyorsanız size gelen bildirimlere cevap vermek için 60 gün beklememelisiniz. 

EDIT1: Bana hesabınıza giriş bilgilerinizi atmayın. Beni sizin hesabınıza bağlayabilecek hiçbir şey atmayın. İstemiyorum. Eğer atarsanız size yardımcı olmayacağım. Benim buradaki amacım farkındalık yaratmak ve belki de 60 gün sonra Poloniex’in bu büyük güvenlik açığını kapatmasını sağlamak.

EDIT2: Bulduğum güvenlik açığını sattım. Farklı bugları ileten farklı kişilerden aldığım birkaç mesaja göre buldukları bugların var olduklarını kanıtlamak için bugları kullanıp denemişler ve bu yüzden Poloniex’ten bir ödül alamamışlar. Bu bugları bulan diğer kişiler gibi bana da bir dava açılmasını istemediğim için bulduğum açığı satma kararı aldım.

Bu hesaba daha fazla girmeyeceğim. Satıştan kazandığım gelirin %20’si açık-kaynaklı çevrim içi projelere bağışlanacak. %75’i Bitcoin ile bağış kabul eden bir hayır kurumuna bağışlanacak. Geri kalan %5 benim cebime girecek.

Poloniex artık güvenli değil. Şifrelerinizi değiştirin. Güle güle.”