0x07 – Digiturk

0x03 numarali yazimda, Digiturk’un yurtdisi WebTV hizmetini Macintosh bilgisayar ile nasil izlenebilecegini, ve varolan bir guvenlik acigini kullanarak hesap paylasmanin, hatta bedava izlemenin nasil mumkun oldugunu anlatmistim. Bu seferki yazimda ise WebTV’yi degil, evlere kurulan Digiturk hizmetiyle ilgili bir guvenlik sorununu paylasacagim.

Baslamadan once yine belirtmek isterim ki, bu “acik” (guvenlik acigi olarak yorumlanmayabilir bu olay, ama benim kisisel gorusum acik oldugu yonunde), Digiturk’e bildirildikten kisa bir sure sonra duzeltilmistir.

Kompozisyonumuza baslayabiliriz.

Giris

Yazin Turkiye’deyken ev ahalisine ufak bir hediye olarak eve Digiturk taktirmaya karar verdim. Her sirket gibi Digiturk de uye olmak isteyen insanlari hic uzmuyor, sagolsunlar aramamim ertesi gunu gelip kurulumu tamamladilar, haftasonu maclarina bile yetistik. Turkiye’den donme vaktim yaklasinca, yurtdisindan fatura odemelerini nasil gerceklestirebilecegimi incelemeye basladim, ve www.digiturk.com.tr’deki “Online Islemler” sayfasini buldum. Buraya basinca telefon numaraniz ve sifrenizi girerek giris yapabiliyor, fatura odeyebiliyor, uye bilgilerinizi gorup degistirebiliyor, yeni paket satin alabiliyorsunuz, vs vs.. Su ana kadar gayet normal.

Gelisme

Uyelik sirasinda bana herhangi bir sifre verilmemisti ve elimde sadece bir uyelik numarasi vardi. Ben de “Sifremi sms’le sifirla” linkine tikladim ve soyle bir yazi cikti karsima:

“Sayin Uyemiz,
Kayitli cep telefonunuzdan DIGISIFRE SIFIRLA yazip 3555’e gondererek sifrenizi safirlayabilirsiniz.”

(buraya kadar guzel)

“Kayitli cep telefonunuz yoksa veya ilk defa giris yapiyorsaniz UYELIKNO DIGISIFRE SIFIRLA yazip 3555’e gondererek sifrenizi alabilirsiniz.”

Oups. Bunu okuyunca kendi kendime bir “eyvah” patlatip hemen denemeye basladim. Rastgele bir uyelik numarasi kullanarak 3555’e XXXXXXX DIGISIFRE SIFIRLA yazdim, ve soyle bir cevap geldi:

“Sn KOLUNSAG; DIGIWEB’e giriste kullanacaginiz DIGISIFRE’niz dijital kartinizin son 5 hanesi (XXXXX) olarak guncellenmistir.”

Sn KOLUNSAG kim (kendisinden ozur dilerim sifresiniz resetledigim icin)? Ben niye onun sifresini sifirlayabiliyorum? Ben niye bu yeni sifre ile onun hesabina girebiliyorum? Ben niye Sn KOLUNSAG’in adina soyadina telefonuna adresine, hangi pakete uye oldugu, faturasini ne zaman odedigi gibi bilgilere ulasabiliyorum?

“Neyse artik bu uye nosu herhalde sms’i gonderen telefon numarasi ile eslesmistir, baska uye sifresi alamam” diye dusunup bir kez daha denedim, ve..

“Sn ISIK; DIGIWEB’e giriste kullanacaginiz DIGISIFRE’niz dijital kartinizin son 5 hanesi (XXXXX) olarak guncellenmistir.”

Hmmm.. Bu olayi abartsak ne yapabiliriz? Toplu sms atip uyelerin sifrelerini resetleyen, yeni sifrelerle sistem giris yapip uye bilgilerini toplayan bir uygulama yazilabilir mesela. Ya da “hangi takimin en fazla Digiturk uyesi var” sorusuna cevap bulunabilir (uyelik bilgilerinde tuttugu takim da var). Hatta herkes “Mega Super Ultra Pahali Paket”e gecirilebilir. Ama bunlari yapmiyoruz, cunku suc islemek istemiyoruz. Fakat boyle durumlarda, bilgileri koruyamayan site sahibinin de ayni derece suclu sayilmasi gerektigi kanaatindeyim.

Sonuc

Muhtemelen uyelere ve musteri hizmetlerine kolaylik saglamak amaciyla yaratilmis bir sifre sifirlama hizmetinin nasil kotu amacli kullanilabileceginin ornegini goruyoruz burada. Sorunu cozmek oldukca basit. “UYENO DIGISIFRE SIFIRLA” seklinde bir hizmet sunulmamali, telefonu kayitli olanlar sadece “DIGISIFRE SIFIRLA” ile yeni sifre alabilmeli, telefonu kayitli olmayanlar da musteri hizmetlerini arayarak kaydini yaptirmali, ya da ilk uyelik formu doldurulurken yazilan telefon numarasinin kaydi Digiturk tarafindan otomatik yapilmali.

Nitekim Digiturk’un sitesinde “sifremi sms’le sifirla”ya tikladiginizda artik soyle yaziyor:

“… Kayitli cep telefonunuz yoksa veya ilk defa giris yapiyorsaniz 0212 xxx xx xx Musteri Hizmetlerimizden sifrenizi alabilirsiniz”.

“Acaba hala 3555’e UYENO DIGISIFRE SIFIRLA yazip sifre elde etmek mumkun mudur” diye merak etmiyor degilim ama… :)

Edit: Mumkun olmadigi, “Sn. XXX, bu telefon uyeliginize kayitli degil. Bu telefonu kayit ettirmek için XXX’ten Musteri Hizmetlerini arayiniz” seklinde cevap geldigi yonunde bilgi geldi. Bunu da ekleyelim.

  1. Ahmet Oğuz Bozkurt

    Merhaba hocam. Ortaklaşa DigiturkWebTV aldık 4 kişi. GSli, FBli, BJKlı ve Bursasporlu olarak.
    Aynı saatte maçlar olabiliyor maalesefki, aynı anda giremiyoruz.
    Bunun bir yöntemi var mı acaba?
    Değerli cevabınızı bekliyorum.

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>