Toplumsal medya profil sayfanızda hangi şahsi ayrıntılarınızı paylaşıyorsunuz?
İsminiz, yaşadığınız, yer ya da yaşınızı mı? Yoksa işiniz, uygar durumunuz ve profil fotoğrafınızı mı?
Kullanıcıların paylaşma konusunda rahat hissettiği özel bilgiler, şahıstan bireye değişiyor.
Birçok insan, herkese açık olan profil sayfalarının hem de kamu malı sayıldığını kabul etmiş durumda.
Pekala bütün detaylarınizin bir hacker ya da bilgisayar korsanı tarafınca listelenerek milyonlarca kullanıcının datalarından oluşan devasa bir data tabanına konduğunu, akabinde en epey para ödemeyi kabul eden siber suçluya satıldığını öğrenseniz ne hissederdiniz?
Geçen ay dünyanın dört bir yanından 700 milyon Linkedln kullanıcısının bilgi tabanını “eğlence olsun diye” toplayan ve kendisine ‘Tom Liner’ lakabını takan bir bilgisayar korsanı tam da bunu yapmıştı. Bu dataları sonrasındasında yaklaşık 5 biner dolara sattı.
Bu ve emsal olaylara, toplumsal medyada ‘veri kazıma’ ismi veriliyor.
Kamuya açık olarak paylaştığımız profillerimizdeki temel ayrıntıların daha düzgün korunmasının gerekip gerekmediği konusu da ateşli bir tartışmaya yol açtı.
Geçtiğimiz ay ‘Tom Liner’ lakaplı bir bilgisayar korsanı meşhur bir hacker forumunda LinkedIn kullanıcıları ile ilgili şu iletisi paylaştı:
“Selam, elimde 2021’e ilişkin 700 milyon kayıt var.”
Bu paylaşımı yaptığında, İngiltere’de saat 08:57 idi. Tahminen de bilgisayar korsanları için garip bir biçimde ziyadesiyle uygar bir saat seçen ‘Tom Liner’ın hangi saat diliminde yaşadığını ise bilmiyoruz.
Bu paylaşımda, hem milyonlarca bilginin bir kopyasına ilişkin bir link, birebir vakitte öteki bilgisayar korsanlarının direkt ona ulaşıp, bu data tabanı için teklif verebileceği bir davet vardı.
Memnun müşteriler
Bilgisayar korsanlarının dünyasında bu bilgilerin satışa açılması elbette büyük tartışma yarattı.
Tom lakaplı bu bilgisayar korsanı elindeki çalıntı dataları, ‘biroldukca’ memnun müşteriye yaklaşık 5 bin dolara sattığını söylüyor.
Müşterilerinin kim olduğunu ve niye bu ayrıntıları satın almak istediğini anlatmasa da, daha ileri seviyede ve berbat niyetli bilgisayar korsanlığı için bilgilerin kullanılıyor olabileceği yorumunu yapıyor.
Bu gelişme daha sonrası, siber güvenlik ve zımnilik uzmanları, büyük çaplı bilgi ‘kazıma’ olaylarının yaygınlaşacağı telaşlarının yerinde olup olmadığını kıymetlendiriyor.
Bilgisayar korsanları, kelam konusu bilgi tabanlarını internette sunucularına ya da toplumsal ağ internet sitelerine sızarak değil, kullanıcılar hakkında özgürce ulaşabildikleri her ne bilgi var ise, bunları çeşitli platformların kamuya açık yüzünü otomatik programlarla kazarak üretiyorlar.
Teoride bu bilgilerin çoğunluğu, sıradançe kullanıcıların şahsi toplumsal medya profilleri açıldıktan daha sonra, birtakım bilgiler seçilip toplanarak da oluşturulabilir.
Bilgisayar korsanlarının ulaşabildiği bu denli bilgiyi bu biçimde bir sistemle toplamak ise yüzseneler alırdı.
Bu yıl yaşanan büyük bilgi hırsızlığı ya da ‘kazıma’ olayları şu biçimde:
‘Tom Liner’ ile Telegram iletileşme uygulaması üzerinden yaklaşık üç hafta boyunca konuştum.
Birtakım mesajlaşmalar ve karşılıksız telefonlar gecenin ortasında, kimileri ise çalışma saatleri sırasında geldi. Bu niçinle hangi ülkede olabileceği meçhul.
Fakat karısı uyuduğu için telefonda konuşamıyor olduğunu söylemiş olduği, bir de gün ortasında çalıştığı ve bilgisayar korsanlığının onun için bir ‘hobi’ olduğunu söylemiş olduği vakit içinder, günlük hayatına dair ipucuna ulaşma fırsatını yakalayabildim.
‘Çok karmaşık bir iş’
Tom, 700 milyonluk LinkedIn bilgi tabanını oluştururken, daha evvel bir Facebook listesi yaratırken başvurduğu sistemin “neredeyse büsbütün aynısını” kullanmış.
Sürecin birkaç ay sürdüğünü söyleyen Tom, “Çok karmaşık bir işti. LinkedIn’in API’ını (uygulama programlama orta yüzü) hacklemem gerekti. Bir defada fazlaca fazla kullanıcı verisi talep edersen sistem sana yasak getiriyor” diyor.
Toplumsal ağların birçok kimi şirketler ile, pazarlama ya da uygulama geliştirme hedefiyle platformlarına erişmeleri için API paydaşlığı yapıyor.
Bu satışı keşfeden siber güvenlik sitesi PrivacySharks, data tabanının paylaşılan ücretsiz kopyasını incelediğinde, epeyce sayıda isim, e-mail adresi, cinsiyet, telefon numarası üzere bilgilerle karşılaştı.
‘Veri ihlali yok’
LinkedIn yetkililerine göre, şirketin elindeki ispatlar Tom Liner’ın API’larını kullanmadığını gösteriyor.
Şirketin açıklamasında “LinkedIn’den ve öteki kaynaklardan alınan bilgiler kazınarak” bu bilgi tabanının oluşturulduğu belirtiliyor.
Açıklamada, “Bu, LinkedIn’in bilgi ihlali değildir ve LinkedIn üyelerine ilişkin hiç bir özel bilgi ifşa edilmemiştir. LinkedIn’den bilgi kazımak ise bizim Hizmet Kullanım Şartlarımız’ın bir ihlalidir ve üyelerimizin kapalılığının korunması için daima olarak çalışmayı sürdürüyoruz” tabirleri yer aldı.
Nisan ayında misal bir olayla sarsılan Facebook da, sıkıntıyı bir bilgi kazıma olayı olarak niteleyerek mevzuyu kapamıştı.
Lakin bilgisayar korsanlarının bu bilgi tabanlarından önemli paralar kazanıyor olması kimi siber güvenlik uzmanlarını kaygılandırıyor.
‘Karmaşık bilgiler çalındı’
SOS Intelligence şirketinin kurucusu ve CEO’su Amir Hadzipasic gece gündüz hacker forumlarını tarıyor. Amir Hadzipasic ve grubu, 700 milyonluk LinkedIn bilgi tabanının çalınıp açık artırmaya çıkarıldığını duyunca, kelam konusu bilgilerin tahlilini yapmaya girişmiş.
Hadzipasic, “Bu üzere büyük çaplı sızıntılar, coğrafik pozisyon ve özel telefon numarası ya da e-mail adresleri üzere karmaşık ayrıntıları içermeleri niçiniyle korku yaratıyor. API zenginleştirme hizmetlerinin sunduğu ayrıntıların ölçüsü biroldukca kişi için şaşırtıcıydı” diyor.
Tom Liner, paylaştığı bilgi tabanının makûs gayeli akınlar için kullanılacağının farkında.
Bundan “rahatsızlık” duyduğunu söylüyor fakat niye bu operasyonlara devam ettiğine dair soruyu karşılıksız bırakıyor.
LinkedIn datalarını satın alan bilgisayar korsanlarının büyük ihtimalle bu ayrıntıları şirket işverenleri üzere üst seviye profilleri amaç almak için kullanacağı yorumunu yapan Hadzipasic, bilgi tabanındaki hayli sayıda e-mail adresinin de e-mail üzerinden toplu kimlik hırsızlığı yapmak için kullanabileceğini ekliyor.
‘Veriler halka açık’
Öte yandan, çalışmalarının büyük kısmını hacklenen data tabanlarındaki içerikleri incelemeye ayıran siber güvenlik uzmanı Troy Hunt, bu kazıma olaylarından o kadar da dertli değil.
İnternet sitesi haveibeenpwned.com üzerinden çalışmalarını yürüten Hunt, bu olayları halka açık profillerin paylaşılmasının bir kararı olarak kabul etmemiz gerektiği görüşünde.
“Yaşanan olaylar katiyen bilgi ihlali kapsamında değil. Bu dataların birçok aslına bakarsanız herkese açık” diyen Hunt, kelamlarına şu biçimde devam ediyor:
“Bu olayların her biri için sorulması gereken, datalardan ne kadarının kullanıcının isteği üzerine her insanın erişimine açık olduğu ve ne kadarının erişime açık olmasının beklentilerin ötesine geçtiği.”
Tory Hunt da, Amir Hadzipasic’in toplumsal ağların API programları üstündeki kontrol sistemlerini geliştirmesi gerektiği, bu olayların üstünün örtülemeyeceği konusundaki görüşüne katılıyor.
Hunt, “Facebook ve öteki platformların duruşuna karşı çıkmıyorum. Lakin teknik olarak tahminen yanlışsız olsa bile, yaşanan olaylara ‘burada bir sorun yok’ karşılığını vermekle, bu kullanıcı datalarının ne kadar kıymetli olduğu konusunu atladıklarını ve tahminen de bu bilgi tabanlarının yaratılmasında oynadıkları rolü kıymetsiz gösterdiklerini düşünüyorum” diyor.
Hareketleri niçiniyle, toplumsal medya ağları Tom’a fikri mülkiyet hırsızlığı ya da telif hakkı ihlalinden dava açabilir.
Tutuklanmaktan korkup korkmadığını sorduğum Tom ise, onu kimsenin bulamayacağını söylüyor ve konuşmamızı “İyi eğlenceler” diyerek sonlandırıyor.
İsminiz, yaşadığınız, yer ya da yaşınızı mı? Yoksa işiniz, uygar durumunuz ve profil fotoğrafınızı mı?
Kullanıcıların paylaşma konusunda rahat hissettiği özel bilgiler, şahıstan bireye değişiyor.
Birçok insan, herkese açık olan profil sayfalarının hem de kamu malı sayıldığını kabul etmiş durumda.
Pekala bütün detaylarınizin bir hacker ya da bilgisayar korsanı tarafınca listelenerek milyonlarca kullanıcının datalarından oluşan devasa bir data tabanına konduğunu, akabinde en epey para ödemeyi kabul eden siber suçluya satıldığını öğrenseniz ne hissederdiniz?
Geçen ay dünyanın dört bir yanından 700 milyon Linkedln kullanıcısının bilgi tabanını “eğlence olsun diye” toplayan ve kendisine ‘Tom Liner’ lakabını takan bir bilgisayar korsanı tam da bunu yapmıştı. Bu dataları sonrasındasında yaklaşık 5 biner dolara sattı.
Bu ve emsal olaylara, toplumsal medyada ‘veri kazıma’ ismi veriliyor.
Kamuya açık olarak paylaştığımız profillerimizdeki temel ayrıntıların daha düzgün korunmasının gerekip gerekmediği konusu da ateşli bir tartışmaya yol açtı.
Geçtiğimiz ay ‘Tom Liner’ lakaplı bir bilgisayar korsanı meşhur bir hacker forumunda LinkedIn kullanıcıları ile ilgili şu iletisi paylaştı:
“Selam, elimde 2021’e ilişkin 700 milyon kayıt var.”
Bu paylaşımı yaptığında, İngiltere’de saat 08:57 idi. Tahminen de bilgisayar korsanları için garip bir biçimde ziyadesiyle uygar bir saat seçen ‘Tom Liner’ın hangi saat diliminde yaşadığını ise bilmiyoruz.
Bu paylaşımda, hem milyonlarca bilginin bir kopyasına ilişkin bir link, birebir vakitte öteki bilgisayar korsanlarının direkt ona ulaşıp, bu data tabanı için teklif verebileceği bir davet vardı.
Memnun müşteriler
Bilgisayar korsanlarının dünyasında bu bilgilerin satışa açılması elbette büyük tartışma yarattı.
Tom lakaplı bu bilgisayar korsanı elindeki çalıntı dataları, ‘biroldukca’ memnun müşteriye yaklaşık 5 bin dolara sattığını söylüyor.
Müşterilerinin kim olduğunu ve niye bu ayrıntıları satın almak istediğini anlatmasa da, daha ileri seviyede ve berbat niyetli bilgisayar korsanlığı için bilgilerin kullanılıyor olabileceği yorumunu yapıyor.
Bu gelişme daha sonrası, siber güvenlik ve zımnilik uzmanları, büyük çaplı bilgi ‘kazıma’ olaylarının yaygınlaşacağı telaşlarının yerinde olup olmadığını kıymetlendiriyor.
Bilgisayar korsanları, kelam konusu bilgi tabanlarını internette sunucularına ya da toplumsal ağ internet sitelerine sızarak değil, kullanıcılar hakkında özgürce ulaşabildikleri her ne bilgi var ise, bunları çeşitli platformların kamuya açık yüzünü otomatik programlarla kazarak üretiyorlar.
Teoride bu bilgilerin çoğunluğu, sıradançe kullanıcıların şahsi toplumsal medya profilleri açıldıktan daha sonra, birtakım bilgiler seçilip toplanarak da oluşturulabilir.
Bilgisayar korsanlarının ulaşabildiği bu denli bilgiyi bu biçimde bir sistemle toplamak ise yüzseneler alırdı.
Bu yıl yaşanan büyük bilgi hırsızlığı ya da ‘kazıma’ olayları şu biçimde:
- Nisan’da bir bilgisayar korsanı 500 milyona yakın şahsi bilgiden oluşan öteki bir data tabanı ‘kazıdı’
- Tıpkı haftada bir diğer bilgisayar korsanı Clubhouse’dan 1.3 milyona yakın profilden çaldıklarından oluşturduğu bilgi tabanını bir forumda bedavaya paylaştı
- bir daha Nisan ayında 533 milyon Facebook kullanıcısının şahsi ayrıntıları, eski ve yeni çalıntı datalar kullanılarak toplandı ve bir hacker forumunda bağış karşılığında paylaşıldı
‘Tom Liner’ ile Telegram iletileşme uygulaması üzerinden yaklaşık üç hafta boyunca konuştum.
Birtakım mesajlaşmalar ve karşılıksız telefonlar gecenin ortasında, kimileri ise çalışma saatleri sırasında geldi. Bu niçinle hangi ülkede olabileceği meçhul.
Fakat karısı uyuduğu için telefonda konuşamıyor olduğunu söylemiş olduği, bir de gün ortasında çalıştığı ve bilgisayar korsanlığının onun için bir ‘hobi’ olduğunu söylemiş olduği vakit içinder, günlük hayatına dair ipucuna ulaşma fırsatını yakalayabildim.
‘Çok karmaşık bir iş’
Tom, 700 milyonluk LinkedIn bilgi tabanını oluştururken, daha evvel bir Facebook listesi yaratırken başvurduğu sistemin “neredeyse büsbütün aynısını” kullanmış.
Sürecin birkaç ay sürdüğünü söyleyen Tom, “Çok karmaşık bir işti. LinkedIn’in API’ını (uygulama programlama orta yüzü) hacklemem gerekti. Bir defada fazlaca fazla kullanıcı verisi talep edersen sistem sana yasak getiriyor” diyor.
Toplumsal ağların birçok kimi şirketler ile, pazarlama ya da uygulama geliştirme hedefiyle platformlarına erişmeleri için API paydaşlığı yapıyor.
Bu satışı keşfeden siber güvenlik sitesi PrivacySharks, data tabanının paylaşılan ücretsiz kopyasını incelediğinde, epeyce sayıda isim, e-mail adresi, cinsiyet, telefon numarası üzere bilgilerle karşılaştı.
‘Veri ihlali yok’
LinkedIn yetkililerine göre, şirketin elindeki ispatlar Tom Liner’ın API’larını kullanmadığını gösteriyor.
Şirketin açıklamasında “LinkedIn’den ve öteki kaynaklardan alınan bilgiler kazınarak” bu bilgi tabanının oluşturulduğu belirtiliyor.
Açıklamada, “Bu, LinkedIn’in bilgi ihlali değildir ve LinkedIn üyelerine ilişkin hiç bir özel bilgi ifşa edilmemiştir. LinkedIn’den bilgi kazımak ise bizim Hizmet Kullanım Şartlarımız’ın bir ihlalidir ve üyelerimizin kapalılığının korunması için daima olarak çalışmayı sürdürüyoruz” tabirleri yer aldı.
Nisan ayında misal bir olayla sarsılan Facebook da, sıkıntıyı bir bilgi kazıma olayı olarak niteleyerek mevzuyu kapamıştı.
Lakin bilgisayar korsanlarının bu bilgi tabanlarından önemli paralar kazanıyor olması kimi siber güvenlik uzmanlarını kaygılandırıyor.
‘Karmaşık bilgiler çalındı’
SOS Intelligence şirketinin kurucusu ve CEO’su Amir Hadzipasic gece gündüz hacker forumlarını tarıyor. Amir Hadzipasic ve grubu, 700 milyonluk LinkedIn bilgi tabanının çalınıp açık artırmaya çıkarıldığını duyunca, kelam konusu bilgilerin tahlilini yapmaya girişmiş.
Hadzipasic, “Bu üzere büyük çaplı sızıntılar, coğrafik pozisyon ve özel telefon numarası ya da e-mail adresleri üzere karmaşık ayrıntıları içermeleri niçiniyle korku yaratıyor. API zenginleştirme hizmetlerinin sunduğu ayrıntıların ölçüsü biroldukca kişi için şaşırtıcıydı” diyor.
Tom Liner, paylaştığı bilgi tabanının makûs gayeli akınlar için kullanılacağının farkında.
Bundan “rahatsızlık” duyduğunu söylüyor fakat niye bu operasyonlara devam ettiğine dair soruyu karşılıksız bırakıyor.
LinkedIn datalarını satın alan bilgisayar korsanlarının büyük ihtimalle bu ayrıntıları şirket işverenleri üzere üst seviye profilleri amaç almak için kullanacağı yorumunu yapan Hadzipasic, bilgi tabanındaki hayli sayıda e-mail adresinin de e-mail üzerinden toplu kimlik hırsızlığı yapmak için kullanabileceğini ekliyor.
‘Veriler halka açık’
Öte yandan, çalışmalarının büyük kısmını hacklenen data tabanlarındaki içerikleri incelemeye ayıran siber güvenlik uzmanı Troy Hunt, bu kazıma olaylarından o kadar da dertli değil.
İnternet sitesi haveibeenpwned.com üzerinden çalışmalarını yürüten Hunt, bu olayları halka açık profillerin paylaşılmasının bir kararı olarak kabul etmemiz gerektiği görüşünde.
“Yaşanan olaylar katiyen bilgi ihlali kapsamında değil. Bu dataların birçok aslına bakarsanız herkese açık” diyen Hunt, kelamlarına şu biçimde devam ediyor:
“Bu olayların her biri için sorulması gereken, datalardan ne kadarının kullanıcının isteği üzerine her insanın erişimine açık olduğu ve ne kadarının erişime açık olmasının beklentilerin ötesine geçtiği.”
Tory Hunt da, Amir Hadzipasic’in toplumsal ağların API programları üstündeki kontrol sistemlerini geliştirmesi gerektiği, bu olayların üstünün örtülemeyeceği konusundaki görüşüne katılıyor.
Hunt, “Facebook ve öteki platformların duruşuna karşı çıkmıyorum. Lakin teknik olarak tahminen yanlışsız olsa bile, yaşanan olaylara ‘burada bir sorun yok’ karşılığını vermekle, bu kullanıcı datalarının ne kadar kıymetli olduğu konusunu atladıklarını ve tahminen de bu bilgi tabanlarının yaratılmasında oynadıkları rolü kıymetsiz gösterdiklerini düşünüyorum” diyor.
Hareketleri niçiniyle, toplumsal medya ağları Tom’a fikri mülkiyet hırsızlığı ya da telif hakkı ihlalinden dava açabilir.
Tutuklanmaktan korkup korkmadığını sorduğum Tom ise, onu kimsenin bulamayacağını söylüyor ve konuşmamızı “İyi eğlenceler” diyerek sonlandırıyor.
- Facebook’a siber taarruzda ele geçirilen bilgiler içinde cep telefonu numaranız var mı?
- İnternet sitelerinin güvenlik açıklarını yakalayarak varlıklı olunur mu?