Mastodon
7 dk okuma süresi

🖥️ MSI Garanti Talepleri HERKESE Açıktı! - Hafta 28/2024

Herkese selamlar dostlar yeni bir bültene hoş geldiniz! Bugün 14 Temmuz 2024.

Bültende bu hafta MSI'ın bütün garanti taleplerini içeren veritabanının halka açık olduğu keşfediliyor, Chrome google.com ile biten sitelere sınırsız kaynak tüketimi izni veriyor, mobil cihazlara FSR geliyor ve Windows'ta kritik bir sıfır gün açığı kapatılıyor.

Az önce bahsettiklerim ve daha fazlasına geçmeden önce bu bölümün sponsoru olan Hosting Dünyam'dan bahsetmek istiyorum.

Hosting Dünyam ucuz ve kaliteli VDS çözümleri sağlıyor. Seçenekler arasında Intel ve Ryzen işlemcili VDS'ler seçebiliyorsunuz, seçtiğiniz VDS'leri özelleştirme imkanı sağlıyor.

Örneğin seçtiğiniz pakete özel ek RAM, disk, CPU çekirdeği gibi şeyleri de satın alabiliyorsunuz. Böylece tamamen isteğinize uygun bir hale getirebiliyorsunuz.

Kurulum aşamasındaysa Ubuntu, FreeBSD, Windows, Debian dahil olmak üzere birçok işletim sistemini tek tıkla seçip kurabiliyorsunuz.

Sunucular Tier III standartlarına sahip veri merkezlerinde barındırılıyor. Bu da demek oluyor ki sunucularınız elektrik kesintilerine karşı yüksek korumaya sahip.

1 Gbit porta sahipsiniz ve sunucularda trafik limitlemesi yok! Dilerseniz de 10 aylık ücret ödeyerek 12 ay kullanabiliyorsunuz.

İstanbul lokasyonunda çalışan kaliteli VDS satın almak için bağlantıya tıklayabilirsiniz. Bültene sponsor oldukları için teşekkür ediyoruz.

Şimdi haberlere geçelim!

🤖 Yapay Zeka

Yapılan bir ankete göre 5278 insanın %64'ü yapay zeka müşteri temsilcisi kullanmayan şirketlerin müşterisi olmayı yeğlediklerini söyledi. Bu da demek oluyor ki insanların bir kısmı yapay zeka müşteri temsilcisi istemiyor. Halbuki kağıtta çok daha hızlı işlem yapmanızı ve sonuca varmanızı sağlayabilir. Şirket dokümanlarıyla eğitilirse ve yetkiler verilirse doğru şartlar altında bence çok daha hızlı çalışabilir ama muhtemelen insanların anlayabilmesi için güzel bir örnek gösterilmesi gerekecek.

🔒 Güvenlik

Signal masaüstü uygulaması, kullanıcının mesajları sakladığı veri tabanı anahtarını bir metin dosyası olarak saklıyormuş ve bu durum X.com'da olay oldu.

Normalde siz Signal masaüstü uygulamasını yükleyip kurduğunuzda bir SQlite veri tabanı oluşturuluyor ve bu veri tabanı bir anahtarla şifreleniyor ama bu anahtarsa metin dosyası olarak saklanıyor.

İlk olarak bu durum 2018'de bulunmuş ama Signal bu konuda herhangi bir adım atmadı. Ardından bu durum X.com'da gündem olunca yeni bir sistem getirdiler. Artık bu veritabanı anahtarı keychain içerisinde tutulacak. Windows'ta DPAPI, Linux'ta kwallet yahut MacOS'te keychain uygulamalarının içerisinde olacak.

Yalnız ben bu durumun 2018'den beri var olduğunu bilmiyordum. Signal umarım bu tarz konuları daha ciddiye alır. Tamam bir açık değil ama yine de konu hakkında takındıkları tutum kesinlikle hoş değil.


Bir hastaneye yapılan siber saldırı nedeniyle bazı hastalar ameliyatlarında istemedikleri seçimleri yaptı. Örneğin meme kanseri olan bir hasta normalde acil meme yapılandırma ameliyatı olacakken hasta verilerine erişilemediğinden son anda mastektomi ameliyatı oldu ve bir memesini kaybetti. Bu durum siber saldırının bazen insan hayatına mal olabileceğini gösteriyor. ABD'deki hastaneler bu tarz siber saldırılara çok fazla maruz kalıyorlar. Umarım bu tarz olaylar bize örnek oluyordur ve hastane bilgi sistemlerimizi daha güvenli yapıyoruzdur.

Microsoft Temmuz güvenlik güncellemelerini yayınladı. 26 yetki yükseltme 24 güvenlik bypass etme ve 59 uzaktan kod çalıştırma açığı dahil olmak üzere toplam 142 açık kapatıldı. Güvenlik güncellemelerinizi mutlaka yapın.

Microsoft'ta açık demişken bu güvenlik yamasında bir sıfır gün açığı da kapanıyor. Hackerlar internet kısayolu dosyasını PDF gibi gözüken bir şekilde gizliyorlar ama dosyanın içerisindeki URL'yi MHTML protokolüyle yazıyorlar.

MHTML'de eski Internet Explorter'ı çalıştırıyor ve bu tarayıcı eski olduğu için arka planda Internet Explorer'ın başka açıklarını patlatıyorlar. Internet Explorer kullanıcıya sormadan .hta uzantılı bir dosya indiriyor.

Internet Explorer bir websitenin indirdiği dosyayı açmak istediğini ve buna izin verip vermediğini soruyor. Kullanıcı izin vere tıkladığı an zararlı kod çalıştırıp veri çalan bir zararlı yazılım yükleniyor.

Yani hackerlar burada Windows 10 ve 11 sistemlerindeki var olan Internet Explorer'ı kullanarak zararlı yazılım yüklüyor. Yıl oldu 2024 ama hala Internet Explorer'dan kurtulamadık.


Bir güvenlik araştırmacısı Google'ın Chrome'da google.com içeren bütün alan adına sınırsız kaynak tüketimi hakkı verdiğini keşfetti. Yani Chrome kullanıcıları google.com alan adını içeren herhangi bir isteye girdiğinde tarayıcı işlemci, ekran kartı ve RAM kullanımında tam yetkiye sahip.

Neden böyle bir şey yapılmış? Çünkü Google kendi ürünlerinde Chrome tarayıcısına tam sistem yetkisi vererek sitenin daha hızlı açılmasını sağlıyor. Bu sadece Chrome'da değil Edge ve Brave gibi tarayıcılar için de geçerli. Google burada diğer tarayıcılarla haksız rekabete yol açıyor ve kullanıcının izni olmadan bütün kaynak tüketimi haklarını kendisine veriyor. İlginç bir durum, bakalım resmi açıklamalar henüz gelmedi.

ABD'deki en büyük mobil hizmet sağlayıcılarından birisi olan AT&T'nin 1 Mayıs 2022 ile 31 Ekim 2022 arası bütün kullanıcı verileri çalındı. Bütün veriler derken bildiğiniz konuşma kayıtları, SMS'ler, kim aradı ne zaman aradı gibi bilgiler. Açıkçası modern dünyada SMS ve telefon konuşmaları güvenlik, mahremiyet açısından bana çok sıkıntılı geliyor. Hiçbir şekilde şifreleme yok. Ortada servis sağlayıcınız veya gücü yeten insanlar sizi dinleyebilir. Bunları bilerek telefon görüşmesi veya SMS mesajlaşması yapın. Bence buraya da artık bir uçtan uca şifreleme mekanizması gelmeli.

MSI'ın garanti taleplerini içeren veri tabanı tamamen halka açık olduğu keşfedildi. Evet sen ve ben bildiğin gidip istediğimiz bütün garanti taleplerini aratabiliyorduk. Müşterilerin adreslerini, telefon numaralarını, e-posta adreslerini ve aklınıza gelebilecek bütün diğer bilgiler herkese açık bir şekilde gözüküyordu.

Sistemde istediğiniz gibi aratma, filtreleme yapıp Excel formatında çevrim dışı kullanım için bile indirebiliyordunuz!

Duckducgo'ya MSI RMA webserver diye aratma yaptığınızda bu veritabanı dördüncü sırada çıkıyordu ve herkes erişebiliyordu.

Bunu keşfeden ve videosunu yapan YouTuber GamersNexus'a teşekkür etmek lazım ama düşünebiliyor musunuz? Bütün müşterilerinizin verileri apaçık ortada ve bütün dünya tarafından erişilebilir. MSI gibi bir şirketten bahsediyoruz. Hackerlar bu verileri kullanarak sahte e-postalar atabilir, kullanıcıların hesaplarını hackleyebilirler. Fiziksel adres, e-posta ve telefon numarası yazıyor sonuç olarak. Yapılabilecek şeylerin limiti yok.

MSI gibi bir şirketten kesinlikle ama kesinlikle beklenecek bir şey değil. Böyle bir sistemi nasıl halka açık unuturlar aklım almıyor. Burada Türkiye kullanıcılarının da verileri var mıydı bilmiyorum ama ileride MSI ile alakalı bir e-posta falan alırsanız dikkat edin. Gerçekten MSI'dan gelmemiş olabilir.

🎮 Oyun

ARM mobil cihazlar için oyunlarda upscaling yapmanızı sağlayan ASR isimli bir araç yayınlayacak. ASR, FSR 2 tabanlı bir yazılım ve MIT lisansıyla insanların erişimine açık olacak. Artık mobil oyunlarda da ölçeklendirme mümkün olacak böylece eski telefonlarda bazı oyunları daha rahat oynayabileceksiniz. Birde bu teknolojinin ARM'a gelmesi demek zaman içerisinde ARM işlemcili dizüstü bilgisayarlara da geleceği anlamına geliyor.

📰 Bahsetmeye Değer Haberler

Netflix üyelik ücretlerine yine zam yaptı. Şu an en uygun abonelik 149.99 en pahalı abonelikse 300₺ oldu. Bu arada zamlar sadece Türkiye'ye özel değil, Netflix bir süredir düzenli olarak hem globalde hem Türkiye'de zam yapıyor. Kimsenin de umrunda olmuyor demek ki çünkü yapmaya da devam ediyorlar.

Nintendo Yuzu emülatörünün peşini bırakmıyor. Suyu, Nuzu, Uzuy, Torzu ve Sudachi adlı forkların da kaldırılması sağlandı. Nintendo gerçekten bu yazılımların daha fazla gelişmesini istemiyor.

Microsoft ABD'de yaşayan Filistinli kişilerin aileleriyle Skype görüşmesi yaptığı için hesaplarını siliyor. Neden? Söylediklerine göre terörist aktivitesini engellemek için ama normal bir kullanıcının Microsoft hesabını silmek demek bütün e-postalarına, fotoğraflarına ve buluttaki dosyalarına erişim kaybetmesi anlamına geliyor. Kaldı ki bu kişiler savaş alanındaki aileleriyle görüşmek için kullanıyorlarmış. Buyrun size merkeziyetçi platformların neden kötü olduğunu anlatan başka bir haber.

🎥 Ne Üretiyorum?

Bu haftanın ilk videosunda Windows'u hafifletmenizi sağlayan bir aracı sizlerle paylaşıyorum.

İkinci videodaysa YouTuberların nasıl hacklendiğini konuşuyoruz.

Bu haftaki bültenimizin de sonuna geldik, haftaya görüşmek üzere!