Öneriler

Dijital Salgın: Veri Sızıntıları

Geçtiğimiz günlerde, Türkiye’yi ilgilendiren iki ayrı hack vakası yaşandı. Gönderilen e-posta ve yapılan açıklamalara göre Yemeksepeti’nin siber güvenlik önlemlerini aşan siber suçlular, kullanıcılara ait verilere ulaştı.

Verilerimizi Giymek: Google-Fitbit Anlaşması Tamamlandı

Akıllı saatler, nabzımızdan uyku durumumuza kadar pek çok verimizi toplayabiliyor. Bu cihazlar karşımıza çıkan bir reklamın, okuduğumuz bir metnin veya izlediğimiz bir videonun ilgimizi ne kadar çektiğini, gördüklerimiz karşısında ne kadar heyecanlandığımızı nabzımızda yarattıkları değişikliklerden, kalp atışlarımızdan, hareketlerimizden öğrenebilir.

PRIV101: 2020’li yıllara hazırlık için Veri Mahremiyeti ve Siber Güvenlik dersi

Son günlerde herkes tek bir meseleye kilitlenmiş durumda: WhatsApp ne yapıyor? Sonda söyleyeceğimi başta söyleyeyim, sonra derse geçelim. Bilmeniz gereken HER ŞEYİ anlatacağım.

Liberal demokratlık, evsizlerle sınanıyor

Dünyanın hemen her bölgesindeki yönetim anlayışları ve ideolojiler bir değişim ve sınav sürecinden geçmeye devam ederken, son dönemin sınananı liberal demokrat ve insan haklarını savunan görüşleri ile tanınan New York’un Yukarı Batı Yakası sakinleri.

M1 çipler hakkında temel bilgiler

Şirketin tanıtımlarında “Apple Silicon” ismiyle anılan Apple’ın yeni çipi M1, yeni MacBook modelleri içinde görücüye çıktı.

İnter(mi?)net: ABD’de Ağ Temizliği

İnternet’in toplumlar üzerinde ne denli etkili olduğunu gören devletler, kontrolü ele almak için çalışıyor. Bunun son örneği, bugüne kadar ifade özgürlüğü altında herkese açık, birleştirici ve küresel bir İnternet’i savunmuş olan Amerika Birleşik Devletleri.

Ağ Tarafsızlığı

Ağ tarafsızlığı (“net neutrality”), İnternet Servis Sağlayıcıları ve hükümetler tarafından internet üzerinde dolaşımda olan verilere eşit muamele yapılması gerektiğini ifade eden bir kavram.

Dijital Salgın: Veri Sızıntıları

Date

21. yüzyılın siber salgını muhtemelen veri sızıntıları olacak. En azından ilk yarısının. Bu yüzden, bu yazıdan önce veya sonra PRIV101 isimli yazıyı okumak ve temel şifreleme bilgisi, güvenli iletişim uygulamaları ve kişisel verilerin hangi alanlarda ne gibi fayda veya zararlar güderek kullanılabileceğini öğrenebilirsiniz.

Geçtiğimiz günlerde, Türkiye’yi ilgilendiren iki ayrı hack vakası yaşandı. Önce yerli olana değinelim ve birkaç noktaya açıklık getirelim: Gönderilen e-posta ve yapılan açıklamalara göre Yemeksepeti’nin siber güvenlik önlemlerini aşan siber suçlular, kullanıcılara ait aşağıdaki verilere ulaştılar:

  • Ad, soyad, doğum tarihi

  • Kayıtlı telefon numaraları

  • Kayıtlı e-posta adresleri

  • Kayıtlı teslimat adresi bilgileri

  • “Açık olarak görülemeyen, SHA-256 algoritması ile maskelenmiş giriş şifreleri”

Yemeksepeti sızıntısıyla ilgili ne yapılabilir?
Gönderilen e-postada şifrelerin açık hâllerinin güvende olduğu söylense de kullanılan kriptografik algoritmanın önerilen en güncel (SHA-3 ailesi) sürüm olmadığı ve şirketin sistemlerinde şifreleme süreçlerini nasıl işlettiğini bilmediğimiz düşünüldüğünde, yalnızca Yemeksepeti değil, aynı şifreyi kullandığınız TÜM platformlarda şifrenizi değiştirmeniz gerekiyor. Bunun haricinde ise artık kişisel bilgileriniz, adresiniz, telefon numaranız muhtemelen kötü niyetli kişilerin eline geçtiğinden, aldığınız her e-posta ve telefon çağrısında karşıdakinin size ait doğru bilgiler verebilse bile bir dolandırıcı olabileceğini unutmamanız gerek.

Facebook’taki sızıntı vakası nedir?
Gelelim dünyanın konuştuğu son sızıntıya. Siber güvenlik (ve kolluk kuvvetleri) camiasında takip edilen bazı hacker siteleri vardır. Geçtiğimiz gün bunlardan birinde, 106 farklı ülkeden 533 milyon Facebook kullanıcısının verileri paylaşıldı. Paylaşılan veriler arasında telefon numaraları, isim ve soyisim bilgileri, bulunulan konumlar, doğum tarihleri, ilişki durumları, hesap açılış tarihleri ve e-posta adresleri var. Türkiye’deki etkilenen kullanıcı sayısı ise yaklaşık 20 milyon.

Nasıl oldu?
Verilerin çalınmasına Facebook sunucularındaki bir güvenlik zafiyeti neden oldu. Yakın zamanda yaşandığını zannetmeyin, olay 2019’da yaşandı ve Facebook zafiyetin farkına vararak Ağustos 2019’da güvenlik açığını giderdi. Maalesef, 2019 yılındaki çoğu bilgi hâlâ güncelliğini koruduğu için bu olayı güncel bir sızıntı olarak düşünebiliriz. Ayrıca, 2019’da yaşanan bir olayın 2 yıl sonra ortaya çıkması bize bu yazıyı okurken dahi bir sızıntı kurbanı olabilme ihtimâlimizi gösteriyor.

Neden önemli?
Çevrim içi veya dışı çoğu kimlik doğrulama süreci, sızdırılan bu verilerle başlatılıyor. Hâlâ telefon numaralarını hesap şifresi olarak kullanan kullanıcılar olduğu düşünüldüğünde sızıntının önemi aşikâr, ancak herkesin güçlü şifreler kullandığını varsaysak dahi bu sızıntı önemli. Zira en büyük ve zararlı siber korsanlıklar çoğunlukla sistem açıklarını kullanarak çalınan parolalar vs. ile gerçekleşmiyor; sosyal mühendislik ile yapılıyor. Örnek isterseniz yakın zamanda Türkiye’de “telefondaki şahıs güncel bilgilerimi en az bir polis kadar iyi biliyordu, inandım” açıklamalarıyla yaşadıkları dolandırıcılık vakalarını anlatan profesörleri, gazetecileri, iş insanlarını, memurları düşünebilirsiniz.

Özetlersek, ne durumdayız?
Özetle, Yemeksepeti vakasıyla birlikte düşünüldüğünde adınız, soyadınız, doğum tarihiniz, oturduğunuz evin adresi, iş yeri adresiniz, e-posta adresiniz, telefon numaranız, ilişki durumunuz gibi bilgiler İnternet’te mevcut. Detayına girmeyelim ancak yaşanan başka hadiseler sebebiyle T.C. Kimlik Numaranız, ikamet adresiniz, anne ve baba adınız gibi bilgilerin de İnternet’te dolaşımda olduğundan emin olabilirsiniz. Tüm bunların ışığında hepimizin dikkat etmesi gereken en önemli şey, aldığımız e-posta ve telefonlarda karşı tarafın bir “yetkili” olduğunu iddia edip bu gibi bilgileri sunmasının hiçbir şey ifade etmemesi. Bilmediğiniz kişilerden gelen e-posta ve telefonları açmamak, açtıysanız kişisel bilgilerinizi verebilmesi durumunda bile ciddiye almamak, gerçeklik ihtimali görüyorsanız ise telefonu hemen kapatıp arayan yetkiliyi (banka, polis, şirket vb.) resmi numaralarından kendiniz geri aramanız, alabileceğiniz en basit ama en elzem önlemlerden. Dünyaca ünlü çoğu siber korsanlık vakasının yalnızca birilerinin sosyal mühendislik yoluyla manipüle edilmelerinden kaynaklandığını unutmayalım. Twitter’da Elon Musk, Jeff Bezos, Bill Gates, Barack Obama ve Apple hesaplarının hacklenmesine yol açan “güvenlik açığı”, teknik bir açık değildi. Çalışanlar, siber korsanlarca kandırılmışlardı.