ABD’li elektrikli otomobil üreticisi Tesla, geçtiğimiz zamanlarda Microsoft SQL Server Reporting Services’ta (SRSS) karşılaştığı bir güvenlik açığı nedeniyle şirket için oldukça az sayılabilecek bir miktar ödemede bulundu. Ödeme, güvenlik açığını keşfeden kişiye aktarıldı.
SRSS, bahsedeceğimiz güvenlik açığı ortaya çıkmadan yalnızca beş gün önce bir güncelleme aldı. Ortaya çıkan güvenlik açığı, sunucuda oluşan bir hata sonucunda uzaktan kod düzenlemelerine izin veriyordu. Alman hata avcısı “parzel” tarafından keşfedilen hata, Tesla’nın partnerleri için olan sunucuda kendisini gösterdi.
SRSS'teki güvenlik açığı daha önce de başka birisi tarafından paylaşılmıştı:
CVE-2020-0618 olarak adlandırılan güvenlik açığı,14 Şubat’ta bir güncelleme almıştı. Alman avcı parzel ise bu güncellemeden dört gün sonra keşfettiği güvenlik açığını, güvenlik platformu olan Bugcrowd üzerinden paylaştı. parzel, bu açığı Tesla’nın domain'lerini dolaşarak keşfetti.
Hata avcısı, bu güvenlik açığını keşfettikten sonra parmak izi olarak kullanılabilecek bazı dizgileri kaynak koddan çıkardı. Daha sonra bu dizgilerin Tesla’nın domain'leriyle uyuşup uyuşmadığını kontrol etti. Tesla, parzel’in bildirisine güvenlik açığını kabul ederek ve onu 10.000 dolarla ödüllendirerek yanıt verdi. Tesla, güvenlik açığının ortaya çıkmasıyla birlikte hatalı SQL servisini çevrimdışı yaptı.
MDSec araştırmacısı Soroush Dalili, CVE-2020-0618 isimli güvenlik açığını daha önce Microsoft’a bildirmişti. Dalili, 11 Şubat günü, yani Microsoft’un güncellemesinden üç gün sonra bu güvenlik açığı hakkında bazı teknik detayları paylaşarak bu güvenlik açığından nasıl yararlanabileceğini de aktarmıştı.
MDSec araştırmacısı tarafından yayınlanan raporlar, parzel için oldukça kullanışlı oldu ve Tesla’nın sunucusundaki bu güvenlik açığını bulmasına yardım etti. Zaten kendisi de Twitter üzerinden yaptığı bir paylaşımda Dalili’nin paylaştığı rapor için kendisine teşekkürlerini de iletti.
Güvenlik açığından kurtulan Tesla, şirketin büyüklüğü düşünülünce aslında parzel’e biraz düşük miktarda ödül vermiş diyebiliriz. Ancak bu açığın bulunmasındaki zorluğu ve detayların zaten daha önce paylaşılmış olduğunu düşününce ödül miktarının yeterli olduğunu söyleyebiliriz.
