n11.com Hakkında Düşüncelerim

tarafından
303
n11.com Hakkında Düşüncelerim

Herkese merhabalar,

Bu yazıya arama motorları üzerinden gelipte beni tanımayan arkadaş için kısaca kendimden bahsedeyim.

Web uygulama güvenliği alanıyla uzun zamandır ilgileniyorum. Ayrıca Facebook, Twitter, Google, Apple, Microsoft, BlackBerry gibi birçok popüler website üzerinde güvenlik zafiyetleri bularak şirketlerin özel teşekkür sayfalarında ismim yer alıyor. Daha detaylı bilgi için bu bağlantıya tıklayabilirsiniz.

Şimdi gelelim asıl konumuz olan n11 hakkında düşüncelerime. Öncelikle bu yazı n11 karalama yazısı değildir. Ya da n11’i hedef alan bir yazıda değildir. Sadece benim yaşamış olduğum olumsuz bir durumu paylaştığım bir blog yazısı olarak görün.

Ben ve ailem sık sık n11.com üzerinden alışveriş yapıyoruz. İlgim gereği ziyaret ettiğim tüm sitelerde gözüme çarpan kısımlarda zafiyet olabileceğini düşündüğüm şeyleri site üzerinde testler yapıyorum.

3 eylül 2018 tarihinde n11.com üzerinde bir şey farkettim. “İstek Listelerim” adında bir özellik koymuşlar. Biraz kurcalamaya başladım. Yeni bir istek listesi oluşturdum. İstek listesi oluştururken 2 güvenlik seçeneği soruyor. Birincisi “Herkese Açık”, ikincisi ise “Bana Özel”.

Ben de hemen “Bana Özel” bir istek listesi oluşturdum. İçerisine birkaç ürün ekledim. Daha sonra istek listesinde yer alan ID’yi farklı bir tarayıcı üzerinde açmaya çalıştım.

Buraya dikkat! Farklı tarayıcının tüm geçmiş verileri temizlenmiş. n11.com girişi olmayan bir tarayıcıydı ve benim oluşturmuş olduğum ve “Bana Özel” olarak seçtiğim istek listemi görebiliyordum. Hemen farklı ID’ler üzerinde denemeler yapmaya başladım ve gördüm ki, birçok “Bana Özel” istek listesi oluşturan kişinin istek listelerine ulaşabiliyorum. Hemen iyi niyet göstererek Twitter üzerinden bir tweet attım.

n11-twitter

Bu tweetin ardından yaklaşık 4dk sonra beni cep telefonu numaramdan 3-4 kere aradılar. O sırada daha denemeler yapıyordum ve bir anda zafiyetin kapatıldığını farkettim. Büyük ihtimal Tweetimi görmüşler ve benim loglarımı inceleyerek zafiyeti kapatmışlardı. Buraya kadar güzel gözüküyor olabilir. Fakat daha sonra bana Twitter üzerinden atılan DM resmen bir faciaydı.

 

n11-twitter-DM

Evet n11.com hiçbir şey olmamış gibi zafiyet hiç olmamış gibi davrandı. Yaptığı bir diğer amatörlük de, benim cep telefon numaramı 3-4 kere aradıklarını yukarıda bahsetmiştim. Gelen aramayı açmamıştım. Ne oldu dersiniz? N11.com inanılmaz bir amatörlük yaparak n11.com sisteminde kayıtlı tüm Gökay Gündoğan hesaplarını incelemiş ve babama verdiğim eski numaramı bularak babamı aramışlar. Tabii ki babamın olaydan haberi yok. Adam şaşırmış. Ne diyeceğini bilememiş.

Bu zamana kadar birçok firmayla çalıştım. Fakat ilk defa bu kadar amatör olan bir ekip görüyorum. Bunu da çok üzüldüğüm için blog yazısı yazmak istedim.

Bir sonraki yazımda görüşmek üzere kendine iyi bakın…