E-imza firmalarının birinde kritik bir açık buldum
Merhabalar, e-imza firmalarının birinde sadece fiziksel erişimle e-imzayı kullanmaya olanak sağlayan olan bir açık buldum. Normalde e-imzayı kullanmak için pin kodunu bilmeniz gerekiyor ama bu açık yüzünden pin kodunu sıfırlayabiliyorsunuz. Bu açıkla ilgili de iki ihtimal var, ya sadece o firmaya ait daha önce PIN kodu sıfırlanmış e-imzalarda çalışıyor ya da o firmaya ait tüm e-imzalarda çalışıyor.
Firmaya bunu mail olarak attım ancak kendileri bu durumu reddediyor, açık olmadığını söylüyorlar. Daha sonra attığım kanıtlara da cevap vermediler. USOM'a mail attım, onlar hiçbir dönüş yapmadılar bile. Elimde açığın çalıştığıyla ilgili video da var, kendi e-imzam ile denedim ve telefonumla da videoya çektim bir yandan. Bu videoyu yayınlarsam videoda bilgilerim de gözükeceği için kim olduğumu vs. açığa çıkarmış olurum ama aklıma başka bir yol da gelmiyor.
Böyle önemli bir sistemde bu kadar önemli ve gerçekten çok basit bir açığın olması büyük bir güvenlik zafiyeti. Bu konuda ne yapabilirim? Bunu kime nasıl söylemek gerekir?