İzmir'deki toplu ulaşım araçlarını kullanabilmek için İzmirim Kart, vatandaşlar tarafından yaygın bir şekilde kullanılıyor. Ancak, bir sosyal medya kullanıcısı, bu karttaki yazılımda ciddi bir açık tespit ettiğini belirtti. QR kodları aracılığıyla toplu ulaşım araçlarına binmek için kartı olmayan bir kişi, QR kodlarındaki verileri analiz ederek kartın ücretlendirme sisteminde sorunlar keşfetti.
Sosyal medya kullanıcısı, Karataş tramvay durağındaki QR kodunda karşılaştığı şüpheli veriler sonucu güvenlik açığını fark etti. Kullanıcı, elde ettiği bilgileri detaylıca inceledi ve bu bilgiler üzerinde yaptığı değişikliklerle toplu ulaşımı ücretsiz kullanabileceğini doğruladı.
QR kodları ve hash değerlerinin incelenmesi
Kullanıcı, QR kodlarında karşılaştığı hash değerlerini detaylıca çözmeye çalıştı. Yaptığı araştırmalar sonucunda, bu değerlerin İzmirim Kart'ın yazılımında bir açık oluşturduğunu fark etti. QR kodlarının çözümünü, beş yıllık bug bounty (hata avcılığı) tecrübesiyle hızla gerçekleştiren kullanıcı, kart sistemini manipüle ederek ücretsiz toplu ulaşım sağladı.
Ücretsiz toplu ulaşım deneyimi
Kullanıcı, çeşitli toplu taşıma araçlarında bu açığı test etti. İzmirim Kart’a sahip olmadan, QR kodlarını değiştirerek tramvay, otobüs, metro ve diğer ulaşım araçlarını ücretsiz kullanmayı başardı. Bu testleri yaptıktan sonra, bulduğu yazılım açığını yetkililere bildirdi ve İzmir İnovasyon ve Teknoloji A.Ş.'ye durumu iletti. Yetkililer, kullanıcının bildirdiği açık için teşekkür etti ve çözüm süreci başlatıldı.
Yetkililer sorunu hızla çözüme kavuşturdu
İzmir İnovasyon ve Teknoloji A.Ş., kullanıcının bildirdiği yazılım açığını dikkatle inceledi. 30 Aralık 2024'te, kullanıcı İzmir İnovasyon ve Teknoloji A.Ş. ofisine davet edilerek sorunun çözülmesi için yazılım ekibiyle bir toplantı gerçekleştirdi. Yapılan incelemelerde, açığın ASİS firmasında bulunan kodlardan kaynaklandığı tespit edildi. ASİS, İzmir İnovasyon ve Teknoloji A.Ş. ile birlikte sorunu çözmek için gerekli düzeltmeleri yaptı.
9 Ocak 2025’te, İzmir İnovasyon ve Teknoloji A.Ş., ASİS tarafından yapılan düzeltmenin tamamlandığını ve sorunun çözüldüğünü onayladı. Kullanıcı, bulduğu açık sayesinde toplu ulaşım sisteminde güvenlik açığının önüne geçilmesine katkı sağladı.
İzmirim Kart'ın kullanıldığı işyerlerini zarara uğratmak istemedi
Kullanıcı, İzmirim Kart'ı sadece toplu taşıma araçlarında değil, kartın geçerli olduğu çeşitli üye işyerlerinde de test etmeyi düşündü. Ancak, işyerlerini mağdur etmek istemediği için bu testi gerçekleştirmedi. İzmirim Kart’ın, otobüs, İzban, Metro, Tramvay, Vapur, Teleferik gibi ulaşım araçlarının yanı sıra, çeşitli işyerlerinde de geçerli olduğu biliniyor.
Bu olay, İzmirim Kart kullanıcıları için önemli bir güvenlik uyarısı olmasının yanı sıra, yetkililerin bu tür açıkları hızla tespit edip çözme konusundaki hassasiyetini de gözler önüne serdi. Kullanıcı, yaşadığı deneyimi sosyal medya aracılığıyla paylaşarak büyük bir dikkat çekti ve İzmir İnovasyon ve Teknoloji A.Ş., yazılım güvenliği üzerine çalışmalarını daha da güçlendireceğini belirtti. Bu durum, kullanıcıların dijital güvenlik konusunda daha dikkatli olmalarını sağladı.
