Global İlaç Sektöründe Yüz Milyonlarca Dolarlık Ar-Ge Verisi
Mayıs 2026'da dünyanın en büyük ilaç şirketlerinden birinin bug bounty programı kapsamında gerçekleştirdiğim güvenlik testlerinde, sistemin dış ağ yüzeyini derinlemesine inceleme fırsatı buldum.
Gelişmiş tarama araçlarının yanı sıra manuel olarak yürüttüğüm analizlerde, hiçbir kimlik doğrulaması gerektirmeyen açık dizin listeleme (CVSS 9.8) ve yetkisiz portal erişimi (IDOR - CVSS 7.5) zafiyetleri tespit ettim.
Sistemde basit bir konfigürasyon hatası gibi görünen bu durum, devasa ve son derece kritik bir veri setini dış dünyaya açık hale getiriyordu. İş Etkisi ve Önlenen Risklerİncelemelerim sonucunda, yüz milyonlarca dolar maliyeti olan Faz III klinik araştırmalarına ait belgelere doğrudan erişim sağlanabildiğini gördüm. Bu durumun raporlanmasıyla, şirketin Ar-Ge rekabet avantajını tamamen kaybetmesine yol açabilecek çok büyük bir veri sızıntısının önüne geçilmiş oldu.
Sistemde, hassas hasta verilerini, çalışan bilgilerini ve dahili kalite kontrol raporlarını barındıran 7.333 adet dosya bulunuyordu. Bu dosyaların yetkisiz kişilerin eline geçmesi engellenerek, GDPR ve HIPAA gibi uluslararası regülasyonlar çerçevesinde kurumu bekleyen ağır idari yaptırımların ve itibar kaybının önüne geçildi.
Bulunan dosyalar arasında gerçek banka hesap numaraları, PAN ve GSTIN gibi hassas finansal bilgiler yer alıyordu. Bu bulgunun yetkililere iletilip hızla kapatılması, kuruma yönelik potansiyel kurumsal dolandırıcılık faaliyetlerini başlamadan durdurdu.