Siber güvenlik firması Pen Test Partners'taki araştırmacılar, Eurostar'ın genel kullanıma açık yapay zeka destekli sohbet botunda dört kritik güvenlik açığı tespit etti. Bu açıklar arasında kötü niyetli HTML içeriği enjekte etme ve botu sistem istemlerini sızdırmaya zorlama gibi ciddi zafiyetler bulunuyordu. Firma, bu bulguları Eurostar'ın güvenlik açığı bildirim programı (VDP) aracılığıyla sorumlu bir şekilde bildirdi. Ancak, bu bildirim süreci beklenmedik ve gergin bir hal aldı.
İlk bildirimlere yanıt alamayan ve Eurostar'ın VDP'sini dış kaynaklara aktarması nedeniyle raporlarının kaybolduğunu öğrenen Pen Test Partners ekibi, nihayetinde Eurostar'ın güvenlik başkanıyla LinkedIn üzerinden iletişime geçti. Bu süreçte, güvenlik başkanı iddiaya göre, araştırmacıların ilk e-posta bildirimlerinin onayını talep etmelerini "şantaj" olarak nitelendirdi. Bu suçlama, siber güvenlik topluluğunda büyük yankı uyandırdı ve sorumlu açıklama süreçlerinin ne kadar hassas olabileceğini bir kez daha gösterdi. Eurostar, sonunda bazı açıkları düzeltse de, iletişimdeki bu aksaklıklar ve suçlama, firmanın şeffaflık ve işbirliği konusundaki yaklaşımını sorgulattı.
Tespit edilen açıkların temelinde, sohbet botunun API tabanlı tasarımındaki zayıflıklar yatıyordu. Bot, her mesajda tüm sohbet geçmişini API'ye iletiyor ancak güvenlik kontrollerini yalnızca en son mesaj üzerinde uyguluyordu. Bu durum, önceki mesajların kolayca manipüle edilmesine olanak tanıyordu. Bu olay, şirketlerin güvenlik açığı bildirim programlarını etkili bir şekilde yönetmelerinin ve güvenlik araştırmacılarıyla yapıcı bir diyalog kurmalarının önemini vurgulamaktadır, aksi takdirde hem itibarları hem de kullanıcı güvenliği risk altına girebilir.
Bu olay, şirketlerin güvenlik açığı bildirim süreçlerini ciddiye almalarının ve güvenlik araştırmacılarıyla yapıcı bir iletişim kurmalarının kritik önemini gösteriyor.