Jack Dorsey’in Yeni Uygulaması Bitchat, Güvenlik Skandalıyla Başladı!
Teknoloji dünyasının en tanınmış seri girişimcilerinden ve Twitter (yeni adıyla X), Block ve Bluesky’ın kurucu ortağı Jack Dorsey, yeni bir uygulama ile yine gündemde. Ancak bu kez, projesi parlak bir fikirle değil, utanç verici bir güvenlik skandalıyla manşetlerde. Dorsey’in “merkeziyetsiz, gizli ve güvenli” olma iddiasıyla piyasaya sürdüğü yeni açık kaynaklı ve Bluetooth tabanlı mesajlaşma uygulaması Bitchat, daha ilk günlerinde ciddi güvenlik açıkları barındırdığı ve bu durumun geliştiricileri tarafından görmezden gelindiği iddialarıyla sarsılıyor.
Güvenlik araştırmacıları, uygulamada başka bir kullanıcının kimliğine bürünmenin (impersonation) son derece kolay olduğunu ortaya çıkardı.
Sorun Ne? “Kırık Kimlik Doğrulama”
Bitchat’in en temel vaadi, kullanıcılarına güvenli bir iletişim ortamı sunmaktı. Ancak uygulamanın kendi GitHub sayfasında sonradan eklenen bir uyarı, bu vaadin tam tersini söylüyor:
“Bu yazılım harici bir güvenlik denetiminden geçmemiştir ve güvenlik açıkları içerebilir; belirtilen güvenlik hedeflerini mutlaka karşılamamaktadır. İncelenene kadar üretim amaçlı kullanmayın ve güvenliğine kesinlikle güvenmeyin.”
Peki bu uyarı neden eklendi? Çünkü, uygulama piyasaya çıktıktan hemen sonra, siber güvenlik araştırmacıları Alex Radocea ve Sam Curry, uygulamanın “kırık bir kimlik doğrulama/doğrulama” sistemine sahip olduğunu keşfettiler. Bu açık sayesinde, bir hackerın başka bir kullanıcının hesabını kolayca taklit edebildiği ortaya çıktı. Radocea, bu sorunun, geliştiricilerin güvenlik protokollerini oluştururken biraz daha özen göstermesiyle “tamamen önlenebilir” bir hata olduğunu belirtti.
Jack Dorsey’in Tepkisi ve Eleştiriler
Araştırmacı Radocea, bu kritik güvenlik açığını keşfettikten sonra, sorunu bildirmek için projenin GitHub sayfasında bir “ticket” (sorun bildirimi) açtı. Ancak aldığı ilk tepki şok ediciydi: Jack Dorsey, bildirime hiçbir yanıt vermeden, sorunu “tamamlandı” olarak işaretleyip kapattı.
Gelen tepkiler üzerine Dorsey, birkaç gün sonra ticket’ı yeniden açtı ve araştırmacıdan bu tür sorunları doğrudan GitHub’a göndererek bildirmesini istedi. Bu olay, Dorsey’in güvenlik bildirimlerini ciddiye almadığı veya süreci doğru yönetemediği yönünde ciddi eleştirilere yol açtı.
“Viral Olmak İçin Güvenlik” İddiası ve Tehlikeler
Araştırmacı Alex Radocea, TechCrunch‘a yaptığı açıklamada, Bitchat’in güvenlik iddialarının samimiyetini sorguladı. “Güvenlik, viral olmak için sahip olunması gereken harika bir özelliktir,” diyen Radocea, “Ancak böyle bir şey inşa ederken en temel kontrolleri yapmak, test edilmesi çok bariz bir şey olurdu,” diyerek geliştiricileri eleştirdi.
Radocea’nın en büyük endişesi ise, bu güvenlik vaatlerine inanan kullanıcıların tehlikeye atılması:
“Dışarıda, güvenlik etrafındaki mesajlaşmayı kelimenin tam anlamıyla ciddiye alacak ve kendi güvenlikleri için ona güvenebilecek insanlar var. Dolayısıyla projenin şu anki hali onları tehlikeye atabilir.”
Bitchat’in sonradan eklenen “harici olarak incelenmedik” uyarısına da esprili bir dille karşı çıkan Radocea, “Ben aksini iddia ederim, gayriresmi de olsa bir harici güvenlik incelemesinden geçti,” dedi ve ekledi: “Ve durum pek de iyi görünmüyor.”
Jack Dorsey gibi bir ismin arkasında olduğu bir projenin, en temel güvenlik kontrollerinden yoksun bir şekilde piyasaya sürülmesi ve güvenlik bildirimlerine bu şekilde tepki vermesi, teknoloji dünyasında büyük bir hayal kırıklığı yarattı. Bu olay, “güvenli” ve “gizli” gibi pazarlama vaatlerinin, her zaman gerçek teknolojiyle desteklenmediğinin önemli bir kanıtı.
Sizce büyük isimlerin başlattığı projelere sırf bu isimler yüzünden daha fazla mı güveniyoruz? Bir uygulamanın “güvenli” olduğunu iddia etmesi, sizin için yeterli bir güvence mi? Düşüncelerinizi yorumlarda bizimle paylaşın!
En son uygulama lansmanları ve siber güvenlik dünyasında yaşanan tartışmalar için techneiro.com‘u takip etmeye devam edin!
