İzmirim Kart uygulamasındaki güvenlik açığı, bir kullanıcının yaptığı keşif sonucunda ortaya çıktı. “Cengaver” adlı kullanıcı, İzmir’deki toplu taşıma sistemine dair önemli bir güvenlik zaafiyeti keşfetti ve ardından sorunu İzmir İnovasyon ve Teknoloji A.Ş. ile paylaştı.

Geçtiğimiz ay İzmir’e taşınan ve şehirdeki toplu taşıma sistemini kullanmaya başlayan kullanıcı, İzmirim Kart uygulamasındaki QR kodlarının nasıl çalıştığını merak etti. Bir tramvay durağındaki QR kodu okutarak, sistemin sağladığı verileri inceledi ve ardından bu veriler üzerinde değişiklikler yaparak, ücretsiz ulaşım sağlayabileceği yeni QR kodları oluşturmayı başardı. Kullanıcı, bu keşfini İzmir İnovasyon ve Teknoloji A.Ş.’ye bildirdi.

ASİS Firmasıyla Bağlantı Kuruldu

Yapılan ilk incelemeler sonucunda, güvenlik açığının ASİS (Elektronik Sistemler ve Bilişim Hizmetleri) adlı firmanın yazılım sisteminden kaynaklandığı tespit edildi. ASİS, 16 ülkede ve 63 şehirdeki toplu taşıma sistemlerini yöneten, 90.000’den fazla cihaz ve 40.000’den fazla araçta geçerli olan bir kart sistemi sağlayıcısı olarak biliniyor.

Sorun Çözülmeye Başlandı

İzmir İnovasyon ve Teknoloji A.Ş., durumu ASİS’e bildirdi ve 9 Ocak 2025 itibarıyla sorunun ASİS tarafından düzeltildiği onaylandı. İzmir İnovasyon ve Teknoloji A.Ş. ekibi, bu güvenlik açığını bildiren kullanıcıya teşekkür ederek, çözüm sürecinde gösterdiği katkı için takdirlerini sundu.

Bir ay önce İzmirim Kart’ı nasıl hacklediğimi ve 16 ülke, 63 şehir, 90.000+ cihaz, 40.000+ araçta ve binlerce işletmede sınırsız ücretsiz kart kullanım hakkı kazandığımı anlatıyorum.

Bir ay önce İstanbul’dan İzmir’e taşınma kararı aldım. Yeni evim Konak’taydı, arkadaşım ise… pic.twitter.com/N8G0xseFGB

— Cengaver (@sametbekmezci) January 10, 2025