TakasMerkezi.com’a umulmadık saldırı
Erhan Erdoğan tarafından 14 Ağustos 2008 tarihinde yazılmıştır.
Takas Merkezi ile ilgili bir tanıtım yazısı yazmayı planlıyordum fakat bugün farklı bir gelişmeyi paylaşmak zorundayım.
Türkiye e-Ticaret sektörü ile ilgili verdiğimiz haberler gün geçtikçe çeşitlenmeye, tatsızlaşmaya hatta ilginçleşmeye başladı.
Dün GittiGidiyor çalışanlarından Java Script Uzmanı Azer Koçulu, Takas Merkezi‘nin sistemine, Amerika üzerindeki bir Linux serverdan (yani uzak erişim yaparak) bir javascript saldırısında bulunmuş. Saldırı ürün giriş formu üzerinden yapılmış; ürünler yönetim onayı ile yayına geçtiği için sonuçları site ziyaretçilerine yansımamış.
Bu tarz durumları her zaman olduğu gibi haber niteliğinde yayınlamak istiyor ve kendi yorumlarıma yer vermiyorum.
Önder Eren‘in saldırı hakkında açıklaması şöyle: “saldırı form üstünden javascript atağı. nasıl açık bıraktık ben de bilmiyorum. eklediği script şurada (silmediyse) http://static.r92.org/x.js alert açıyor “naber önder” diye. r92.org dreamhost üstünde ben de onlardan yardım istedim ama gerek kalmadı çünkü aynı subdomainde bir uygulamasını paylaşıyormuş zaten. durumu aktardım inanmak istemediğimi söyledim mailimde.kabul cevabı içler açısıydı. özür yok, bahaneler kabahatinden beter. GG bu durumu bilmeli.”
Önder Eren yaşananları Friendfeed‘de anlık olarak paylaşmış, FF‘te yer alan üyeler de olayı yorumlamışlar. Olay fark edildiğinde başlayan yorumlar ve Azer Koçulu’nun gerçekleştirdiğinin tespit edilmesinden sonraki yorumlar hala Friendfeed‘de yer alıyor.
Ayrıca Önder Eren‘le, Azer Koçulu arasında geçen mailleşmeye de bu adresten ulaşabilirsiniz.
Güncelleme: Azer Koçulu’nun açıklaması ve yayınlanmasını istediği emaile bu adresten ulaşabilirsiniz.
Bu olayin webrazzi’ye tasinmasini uygun buluyorum,webrazzi web 2.0 disina tasmistir ama sektor icin bence onemli ve atlanmamasi gereken bir haber.Gittigidiyor’unda resmi aciklama yapmasi gerekir.
Komik gelen ise saldiraya ugrayan tarafa yorumlarda yuklenilmesi.Sizin sitenize boyle bir saldiri olsaydi eminim sadece yargiya basvururdunuz!
yargida hemen cezasini verir ya
Webrazzi ile TakasMerkezi arasında bir ortaklık var mı acaba ? Bence bu tarzda bir haber akıllara sadece bu soruyu getiriyor. Ayrıca TechCrunch etkinliğinde demo sırasında da kendime bu soruyu sormuştum. Çünkü tarafsız olarak konuşuyorum bence TakasMerkezi o etkinlikte yer alacak nitelikte bir proje değildi…
Okay’ a katılıyorum.
Bir gün Nasreddin Hoca’nın eşeği çalınmış. Can sıkıntısı içinde durumu komşularına anlatınca her kafadan bir ses çıkmaya başlamış. Birisi :
-Hocam demiş niye ahırın kapısına iyi bir kilit takmadın sanki? Bir başkası:
-Evine hırsız giriyor da senin nasıl haberin olmuyor? diye konuşmuş.Bir diğeri de :
-Hocam demiş, kusura bakma ama eşeğin çalınmasına en büyük sebep yine sensin. Çünkü doğru dürüst bir ahırın bile yok.Nerden baksan dökülüyor.Hoca kızmış:
-Yahu demiş, iyi güzel de kabahatin hepsi benim mi? Hırsızın hiç mi suçu yok?
Bence bu olayı friendfeed’de ve webrazzi’de yayınlamak marka prestijinin bozulması açısından çok daha önemli. Açık kapatıldıktan sonra dava açılıp hak aransaydı ve dava sonuçlanınca friendfeed ve webrazzi gibi alanlara bu haberler düşseydi takasmerkezi için çok daha sağlıklı olurdu ve prestij kaybı yerine aksine prestij kazanımı yaşanılabilirdi. iyi bir politika izlenmemiş malesef.
Olayın FF’de tartışılması doğrudur, yanlıştır o ayrı, Takasmerkezi’nin kendi takdiridir ama bu yazı webrazzi’nin şimdiye kadar izlediği çizgiye ciddi şekilde ters düşmüş korkarım. Ortada itham var, kanıt yok. Suçun işlendiğine dair bir kanıt bile yok ama çok çok önemli bir haber gibi burada kaleme alınmış. Erhan’ın özellikle yabancı servislerle ilgili güzel tespitlerini severek izliyorum ama bu tip yazılarda Arda’nın Erhan’a biraz yol göstermesi gerekebilir gibi geldi bana.
Azer Koçulu’nun yayınlanmasını istediği ve içinde konu ile ilgili açıklamalar bulunan mailler yazının sonuna eklenmiştir.
@çağatay senin tam adın, kurumsal blogun ya da uluslararası başarıların vardır eminim. Çokta iyisindir işlerinde. Ama benim elimden bu kadar kurumsallık geldi. Kinayeli sözlerin beni kayda değer hissettirmedi değil.
Ve bu kadarcık kurumsal kimliğimle bile senin soyadsız/kurumsal blogsuz yazdığın yoruma değil, yorumunu yazıyla alakasız olsa da adı sanı belli olup onaylayanlara şaşırabiliyorum. ne ilginç değil mi ?
Okay’a katılıyorum. Webrazzi bu durumu tartışmaya açmakla iyi etti. Botego konusu da burada tartışılmıştı. Bence Webrazzi sadece 2.0 sitesi değil, internet camiasında neler oluyor sitesi…
Çoğunluğun takasmerkezi.com’a yüklenmesini anlayamıyorum. Ebay’in bir çalışanı, rakip siteye yapsa ne olurdu? sorusunun yanıtını Gittigidiyor vermeli. Meslek ahlakı, böyle oluşur.
Neymiş, - sırf bu yüzden başarılı bir javascript coderının iş hayatını etkilemek ve sektördeki adını kirletmek çok yanlış - imiş. Bana söyler misiniz, korsan ile insan ayrımını hangi noktada yapmamız bekleniyor.
Bari, yavuz hırsız edasıyla - hic istemeden buyuk bi hata yapip elinize kotu bir firsat gecirdim - demeden, düzgün bir özür dileseydi de hata yaptığını düşündüğüne inansaydık.
Xss vb. saldırı türleri en bilinen basit saldırı tipleridir. Bunları engelleyemiyorlarsa veya unutmuşlarsa, bu yazılımcılarının bir eksiği olduğunu düşünüyorum. Açığı bulanın değil.
Atıyorum ben kendi websitemdeki ürünlerimi eklemek istedim. TakasM.nin metin editörüne kendi sitemi copy+paste olarak ekletirsem ve içerisinde javascript kodlarımıda takasm.ye eklerse, bu benim hatam değildir sanırım. Onun cezasınıda müşteriye mi keseceklerdi, Müşterinin ismini her yere bloglara vs. yazacaklarmıydı
Sıfır riskle olayı çözmüşler ve yolun başındayken minimize etmişler. Burada ve diğer mecralar da yayınlamasalar kimsenin haberide olmazdı.
Şöyle düşünmek lazım, Arkadaş sitenizde açık bulmuş, bu açık çok basit ve müşteriler içinde tehlikeli bir açık.
Bunu ti-ye vurarak size göstermek istemiş sanırım, “naber önder” hatası verdirerek.
sitenin kime ait olduğu, kim olduğu, her şey belliyken, zarar vermek istiyorsa bu gibi bir durumda neden kendini belli etsin açığı bulan kişi
Masumane bir hareket olduğunu düşünüyorum.
Karalama kampanyasına da webrazzinin katılmasınıda kınıyorum. Arda bey’in MeetUp da samimi olduğu herkesi bu şekilde kollamaması gerektiği kanaatindeyim. Yoksa Arda bey’in TM. de gizli ortaklığımı var
Kısaca toparlarsak;
1- Sen git sitende basit bir açık bırak.
5- Açığı yönetici onayı olmasa ne yapardık de. Sanki forum sitesi kurmuş gibi 
5- Zarara uğradım bu ne küstahlık bu ne biçim iştir de…
2- Açığı bir kişi bulsun ve zarar vermeden, basit bir js kodu eklesin. Adresini ve bilgilerinede kolaylıkla ulaşabildiğin biri.
3- Sen ise bu yapılan hareketi bana zarar vermek için de…
4- Git tüm mecralara yayınla açığım var diye
Sonuç olarak bulunan açığı, heyecana kapılarak tüm mecralara yaymış ve sonradan farketmiş ki marka olma yolunda bu ne biçim hatadır yahu demiş ve GG çalışanı olduğuna göre belki zararımı telafi ettiririm demiş olabilir diyorum.
Yada bu da GG ve TM arasındaki bir gerilla reklam yöntemi olabilir. Ben buna daha çok ihtimal veriyorum.
Umarım yazdıklarım yayınlanır saygılar…
Webrazzi takas merkezi reklami yapiyor.. Bu haberin Ibrahim Tatlises’in Derya Tuna’ya silahli saldiri yapmasindan ne farki var ?
Bencede haber yapılması gereken bir konu değil, reklam olsa bile takasmerkezinin reklamı değildir heralde çünkü bu yazı benim gözümde takasmerkezinin prestijini düşürdü. Azer’i uzaktan tanıyorum bulanan açık basit bir XSS açığı. Sadece Web 2.0 sitelerinin tanıtımının yapıldığı bir blog olmaması tabikide iyi birşey ama buradaki açık takasmerkezi.com’un veritabanın çalınması veya birçok üyenin kişisel bilgilerinin ele geçirilmesi gibi önemli birşey değil. Zamanında global anlamda dev bir çok sitede dahi XSS açıkları tespit edildi burdan Türkiye’deki sitelerin durumunu siz düşünün. Bende bu yazı neden yazılmış anlayamadım.
Yorumsuz takipteydim webrazziyi dayanamadim
Bu kafayla daha cooook beklersiniz Turkiyeden cikacak youtubeleri googlelari ebayleri
kucuk yada buyuk
adam saldirmis ya
xss mixss rss farkedermi???
bunlar saldirilana saldirmislar dusenin dostu olmaz bir tekmede benden bonus hesabi
Gittigimden beri yeni bisey yok garp cephesinde
ortak bile etmisiniz Ardayla adamlari helal
webrazziyi yapmissiniz $errazzi
Acimasizlarin cehennemi Turk cehennemi
Basinda zebani beklemez amma 7/24 nonstop service
burdan bi soz hediyem olsun
- in the country of the blind, the one-eyed man is king -
Peki bu haberin webrazziyle ne alakasi var. Dakika dakika emailler guncelleniyor, yok su bunu dedi, bu bunu yapti. Bir sonraki postta da dun gece XXX`in kurucusu Reina`da goruntulendi yazarsaniz hic sasirtici olmayacak.
Haberin burada yayınlanması doğrumu yanlısmı yorum getirmek cok zor, ancak sanırım saldıran kisinin GG calisanı olması saldırının haber olmasına en büyük etken yoksa haber olmazdı
diye düşünüyorum.
Bu tip durumlarda konuyu GG yöneticilerine ve mahkemelere bildirmenin cok daha
doğru olduğunu düşünüyorum, bu olay bence tamamen kişiseldir koskoca GG’nin takas merkezi’ne saldırarak Pr yapacağını düşünen yoktur herhalde.
Önder Bey konuyu bence GG yetkilelerine bildirmesi gerekirdi, ben sahsen GG yöneticisi olsam Webrazzi haber ve yorumlarına göre bildiri yapmam, ancak böyle bir konuda markamın adının gecmesine tepkimde sert olur.
Webrazzi yorumlarına gelince yarısı sacmalık, yapıcıdan cok yıkıcı oluyoruz.
Heleki Arda’nın takasmerkezine ortakmı gibi bir yorumun buralarda yayınlanmasını cok büyük ayıp olarak görüyorum.
Arda, takasmerkezi, nokta, sinerji, beriltech ve bir cok şirkete ortak zaten o yüzden yazıyor
Hatta youtube ilede alakası var o yüzden acilması icin elestiriyor adam para kaybediyor 
Yorum yazmadan nerelere gittiğini bilmekte fayda var.
kötü niyetle yazılmış veya web dışında yazılmış bir yazı mi bu? Anlayamadım webrazzinin niyetini kötüye yoranları. burası web girişimleriyle ilgili yazılar yazan bir blog. Ve her blog gibi bu blog da öncelikle etrafında olan biten ve web girişimlerini ilgilendiren konuları yazıyor.
Başkasında ne görüyorsun, o’sun.
Yukarıdaki yorumları okudum. Şunları düşündüm. Ben amatör bir blogger’ım. Teknolojiden anlamıyorum. Biri benim siteme saldırırsa, ben ne yapacağımı bilmiyorum / bilemeyeceğim.
Ama saldıranı alkışlayacak, bunu mesleki başarı olarak görecek; benim derdimi paylaşan siteleri suçlayacak ve onların benim ortağım olduğunu iddia edecek onlarca “ahlakdaş”ı olacağını bileceğim.
Bunların hayatlarında -gerçekten ortaya çıkmasalar da- başkalarının açıklarını yakalamak için yanıp tutuşan kişiler olduğunu düşüneceğim.
Sait Faik Abasıyanık’ın Sinarit Baba öyküsünün son satırlarını bu kişilere armağan ediyorum.
- Webrazzi de boyle bir yazinin yazilmasi cok garip degil ancak kullanilan dil biraz yanlis/tarafli/magazinsel olmus. Ancak bildigim kadariyla Webrazzi boyle tartismalara girmek istemiyordu. Bu nedenle botego yazisini tartisma buyuyunce yorumlara kapatmisti.
- TakasMerkezi bu olayi buyutmemeli / ders cikartmali derim. Anladigim kadariyla kimseye zarar veren bir hareket degil. Kapiyi acik unutup tatile gittikten sonra “olm kapiyi acik birakmissiniz, buzdolabindaki pastayi yedim” notu birakan ama birsey calmayan hirsiz gibi olmus.
- Guvenlik acigi bulan kisinin site yetkililerine haber vermesi en etik ve profesyonel yaklasim olurdu.
- Ortada her zaman bir ikilem var. Bizim canizi sikan, bizce yanlis olan bir olayi veya bize yapilan kotu birseyi anlatsak mi? yoksa kuyrugu kisip / ders cikartip oldugumuz yere otursak mi? Bu zor bir soru. Anlatsak dert, anlatmasak dert. Bu ikilemle herkes bir sekilde karsilasiyor.
Biri ufak bi güvenlik açığı bırakmış öbürü oynamış bu zaten sıkça olan birşeydir. Ben de zannettim ki siteyi indirdiler aşağıya. Ben niye webrazzi’ye konu olmuş ona anlam veremedim. Webrazzi olarak daha profesyonel davranılmasını umardım…
Bu konuya son yorumumu ve umarım noktayı koymak istiyorum.
Olayın gelişimi, sosyal medya kavramı sayesinde çok hızlı olmuştur ve hızla da büyümüştür. (bakınız internetin kararıyor kampanyası ve friendfeed-twitter etkisi) Sussaydınız, kimse duymasaydı, siz zarar ettiniz gibi eleştirileri üzülerek okudum bu sebeple. İnsanlar gibi kurumların da özü sözü bir olmalı bence. Bu sebeple de doğru olan bunun herkesçe bilinmesiydi. (olayı büyümesine sebep olan, eylemi gerçekleştiren kişinin kimliğinden çok çalıştığı kurum oldu malesef)
Olayın webrazziye yansıması, webrazzinin ne olduğunu bilen herkes tarafından da kabul edildiği üzere, son derece doğaldır. Burası türk internet girişimciliğinin kalbinin attığı yerdir kabul edelim veya etmeyelim. Bu sebeple bunda bile bir artniyet arayanların olması inanılmaz üzücüdür.
Herşey daha sıcakken Gittigidiyor.com Genel Müdürü şirketimizi aradı ve karşılıklı olarak bu olaydan duyduğumuz üzüntü ve kaygıları paylaştık. Bizim açımızdan da böylece konu kapandı.
Olayın istemeden muhattabı olmak zorunda kalmış bir şirketin yetkilileri bile bu olayın ne kadar üzücü olduğunu kabul ederken, hala bu saldırıyı fırsat bilip takasmerkezi.com’ a saldıranların olması, türk internetinin geleceği açısından hepimizi düşündürmeli. Bir gün bir proje hayata geçirdiğinizde, nelerle kimlerle uğraşacağınızı, en ufak bir tökezlemede kimlerin nasıl üstünüze çullanacağınızı görmeniz açısından bir dolu ders içermektedir bu olay ve akabinde gelen yıkıcı eleştiriler.
Umarım herkes bu konuda özeleştirisini yapar ve alması gereken dersleri alıp yoluna devam eder. Biz bunu yaptık, çok şey öğrendik ve yolumuzu devam ediyoruz.
Son olarak, desteğini esirgemeyen tüm “gerçek” dostlara da teşekkür ediyorum.
Bence’de konu olması gerekenden fazla abartılmış, bu sayede önder bey’in de bahsettiği gibi sosyal medya kavramı devreye girerek ismi bile zor duyulacak bir projeyi reklamın iyisi kötüsü olmaz mantığı ile yüceltmiştir.
Ben bu konuyu viral marketing’in spamı olarak kabul ediyor ve buna katkıda bulunmaktan utanıyorum.