Uygulama Sunucusuna Yetkisiz Erişim: NationStates Veri İfşası
NationStates, çok oyunculu tarayıcı tabanlı bir oyun olarak, yaşanan bir güvenlik olayı sonrası veri ihlali gerçekleştirdiğini doğruladı. Oyun, geliştiricisi Max Barry tarafından yazılan ve “Jennifer Government” adlı romanından esinlenerek oluşturulmuş bir hükümet simülasyonu olarak dikkat çekiyor.
Güvenlik Açığı Raporu ve İhlal Süreci
27 Ocak 2026 tarihinde saat 22:00 (UTC) civarında, NationStates, bir oyuncudan uygulama kodunda kritik bir güvenlik açığı keşfettiğine dair bir rapor aldı. Ancak, bu oyuncu yetkileri aşarak ana üretim sunucusunda uzaktan kod çalıştırma (RCE) imkanı elde etti. Bu da oyuncunun uygulama kodunu ve kullanıcı verilerini kendi sistemine kopyalamasına olanak sağladı.
- CVE Kodu: Henüz atanmış bir CVE kodu bulunmamaktadır.
- Güvenlik Açığı: Kullanıcı tarafından sağlanan girişin yetersiz şekilde filtrelenmesi ve çift çözümleme hatası yoluyla RCE.
Geliştirici Max Barry, raporla ilgili olarak, “Bu oyuncunun 2021 yılından beri birçok kez güvenlik açığı bildirdiğini ve hiç bir çalışan olmadığını vurguladı. İzin verilmemiş giriş nedeniyle sunucunun güvenliğini sağlamak için tamamen yeniden inşa edilmesi gerekecek,” dedi.
Etkilenen Veriler ve Kullanıcı İhlali
İhlal edilen veriler şunları içeriyordu:
- Email adresleri (geçmişteki hesapla ilişkili olanlar dahil)
- MD5 ile saklanan şifreler, bu yöntem günümüzde zayıf kabul edilmektedir ve şifrelerin çözülmesi kolaydır.
- Giriş yapmak için kullanılan IP adresleri
- Giriş sırasında kullanılan tarayıcı UserAgent dizeleri
Telegrams Verisi: “Oyuncu, telegram verisi sunucusuna erişim elde edemedi, ancak bunu kullanarak verinin bir kısmını kopyalamaya çalıştı. Bazı içeriklerin ifşa edilme ihtimali bulunmaktadır,” şeklinde bir uyarıda bulunuldu.
Oyuncular, gerçek isimler, fiziksel adresler, telefon numaraları ya da kredi kartı bilgileri toplamadıkları bilgisini de ekledi.
Çözüm ve Korunma
NationStates, bu olaydan sonra gerekli güvenlik denetimlerini yaparak altyapıyı tamamen yenileyip şifre güvenliği artırma çalışmalarına başlayacak. Site, 2-5 gün içinde tekrar çevrimiçi olmayı planlıyor. Kullanıcılar, site geri döndüğünde, https://www.nationstates.net/page=private_info adresinden kayıtlı verilerini kontrol edebilir.
Sonuç
Eğer bir NationStates oyuncusuysanız, verilerinizin etkilenmiş olabileceği için şunlara dikkat etmelisiniz:
- Veritabanı şifrelerinizi güncelleyin ve güçlü bir şifre kullanın.
- Hesabınıza giriş yapmak için iki faktörlü kimlik doğrulama (2FA) gibi ek güvenlik önlemleri alın.
- Herhangi bir şüpheli etkinlik durumunda durumu derhal bildirip kontrol edin.
Unutmayın, ssistem güncellemeleri ve güvenlik denetimleri, sizin veri güvenliğinizi korumanın en etkili yoludur.
