21. yüzyılın siber salgını muhtemelen veri sızıntıları olacak. En azından ilk yarısının. Bu yüzden, bu yazıdan önce veya sonra PRIV101 isimli yazıyı okumak ve temel şifreleme bilgisi, güvenli iletişim uygulamaları ve kişisel verilerin hangi alanlarda ne gibi fayda veya zararlar güderek kullanılabileceğini öğrenebilirsiniz.
Geçtiğimiz günlerde, Türkiye’yi ilgilendiren iki ayrı hack vakası yaşandı. Önce yerli olana değinelim ve birkaç noktaya açıklık getirelim: Gönderilen e-posta ve yapılan açıklamalara göre Yemeksepeti’nin siber güvenlik önlemlerini aşan siber suçlular, kullanıcılara ait aşağıdaki verilere ulaştılar:
-
Ad, soyad, doğum tarihi
-
Kayıtlı telefon numaraları
-
Kayıtlı e-posta adresleri
-
Kayıtlı teslimat adresi bilgileri
-
“Açık olarak görülemeyen, SHA-256 algoritması ile maskelenmiş giriş şifreleri”
Yemeksepeti sızıntısıyla ilgili ne yapılabilir?
Gönderilen e-postada şifrelerin açık hâllerinin güvende olduğu söylense de kullanılan kriptografik algoritmanın önerilen en güncel (SHA-3 ailesi) sürüm olmadığı ve şirketin sistemlerinde şifreleme süreçlerini nasıl işlettiğini bilmediğimiz düşünüldüğünde, yalnızca Yemeksepeti değil, aynı şifreyi kullandığınız TÜM platformlarda şifrenizi değiştirmeniz gerekiyor. Bunun haricinde ise artık kişisel bilgileriniz, adresiniz, telefon numaranız muhtemelen kötü niyetli kişilerin eline geçtiğinden, aldığınız her e-posta ve telefon çağrısında karşıdakinin size ait doğru bilgiler verebilse bile bir dolandırıcı olabileceğini unutmamanız gerek.
Facebook’taki sızıntı vakası nedir?
Gelelim dünyanın konuştuğu son sızıntıya. Siber güvenlik (ve kolluk kuvvetleri) camiasında takip edilen bazı hacker siteleri vardır. Geçtiğimiz gün bunlardan birinde, 106 farklı ülkeden 533 milyon Facebook kullanıcısının verileri paylaşıldı. Paylaşılan veriler arasında telefon numaraları, isim ve soyisim bilgileri, bulunulan konumlar, doğum tarihleri, ilişki durumları, hesap açılış tarihleri ve e-posta adresleri var. Türkiye’deki etkilenen kullanıcı sayısı ise yaklaşık 20 milyon.
Nasıl oldu?
Verilerin çalınmasına Facebook sunucularındaki bir güvenlik zafiyeti neden oldu. Yakın zamanda yaşandığını zannetmeyin, olay 2019’da yaşandı ve Facebook zafiyetin farkına vararak Ağustos 2019’da güvenlik açığını giderdi. Maalesef, 2019 yılındaki çoğu bilgi hâlâ güncelliğini koruduğu için bu olayı güncel bir sızıntı olarak düşünebiliriz. Ayrıca, 2019’da yaşanan bir olayın 2 yıl sonra ortaya çıkması bize bu yazıyı okurken dahi bir sızıntı kurbanı olabilme ihtimâlimizi gösteriyor.
Neden önemli?
Çevrim içi veya dışı çoğu kimlik doğrulama süreci, sızdırılan bu verilerle başlatılıyor. Hâlâ telefon numaralarını hesap şifresi olarak kullanan kullanıcılar olduğu düşünüldüğünde sızıntının önemi aşikâr, ancak herkesin güçlü şifreler kullandığını varsaysak dahi bu sızıntı önemli. Zira en büyük ve zararlı siber korsanlıklar çoğunlukla sistem açıklarını kullanarak çalınan parolalar vs. ile gerçekleşmiyor; sosyal mühendislik ile yapılıyor. Örnek isterseniz yakın zamanda Türkiye’de “telefondaki şahıs güncel bilgilerimi en az bir polis kadar iyi biliyordu, inandım” açıklamalarıyla yaşadıkları dolandırıcılık vakalarını anlatan profesörleri, gazetecileri, iş insanlarını, memurları düşünebilirsiniz.
Özetlersek, ne durumdayız?
Özetle, Yemeksepeti vakasıyla birlikte düşünüldüğünde adınız, soyadınız, doğum tarihiniz, oturduğunuz evin adresi, iş yeri adresiniz, e-posta adresiniz, telefon numaranız, ilişki durumunuz gibi bilgiler İnternet’te mevcut. Detayına girmeyelim ancak yaşanan başka hadiseler sebebiyle T.C. Kimlik Numaranız, ikamet adresiniz, anne ve baba adınız gibi bilgilerin de İnternet’te dolaşımda olduğundan emin olabilirsiniz. Tüm bunların ışığında hepimizin dikkat etmesi gereken en önemli şey, aldığımız e-posta ve telefonlarda karşı tarafın bir “yetkili” olduğunu iddia edip bu gibi bilgileri sunmasının hiçbir şey ifade etmemesi. Bilmediğiniz kişilerden gelen e-posta ve telefonları açmamak, açtıysanız kişisel bilgilerinizi verebilmesi durumunda bile ciddiye almamak, gerçeklik ihtimali görüyorsanız ise telefonu hemen kapatıp arayan yetkiliyi (banka, polis, şirket vb.) resmi numaralarından kendiniz geri aramanız, alabileceğiniz en basit ama en elzem önlemlerden. Dünyaca ünlü çoğu siber korsanlık vakasının yalnızca birilerinin sosyal mühendislik yoluyla manipüle edilmelerinden kaynaklandığını unutmayalım. Twitter’da Elon Musk, Jeff Bezos, Bill Gates, Barack Obama ve Apple hesaplarının hacklenmesine yol açan “güvenlik açığı”, teknik bir açık değildi. Çalışanlar, siber korsanlarca kandırılmışlardı.