Bir veri ihlalinde çalınan veriler değerini yitirir mi?

Sonraki hikaye
Tony Anscombe

Bazı kişisel bilgiler hiç eskimez - Facebook veri sızıntısının ne anlama gelebileceğini aşağıda okuyabilirsiniz


Geçtiğimiz günlerde medyada “Yarım milyar Facebook kullanıcısının verileri ele geçirildi” gibi bir başlık görmüş olabilirsiniz. Özellikle böyle çok sayıda kullanıcıyı etkileyen herhangi bir veri ihlali, hem şirket hem de durumdan etkilenen kullanıcılar için hoş olmayan bir durumdur. Gerçi bu örnekte, çok eski bir numara biraz değiştirilerek yeniden uygulamaya konmuş gibi görünüyor. 

Facebook’a göre, bu veri ihlali ilk kez 2018 yılında başlıyor ve iş kötü amaçlı aktörlerin, bir kullanıcının başka bir kullanıcının sosyal medyadaki konumunu belirlemek için telefon numarasını kullanarak arama yapmasını sağlayan bir özelliği suistimal ettiklerinde ortaya çıkıyor. Bu özellik aslında aradığınız kişiyi bulmanızı zorlaştıran bir durum olan, birçok kullanıcının aynı adı ve soyadını paylaştıkları bölgelerde işe yarıyordu. Bu durum ne yazık ki kötü amaçlı aktörlerin en azından kurbanını adını ve telefon numarasını içeren bir veritabanı derlemek için otomasyon ve komut dizilerini kullanarak özelliği suistimal etmelerine ve Facebook’u “kazımalarına” olanak tanıdı. 

Facebook bu özelliği Cambridge Analytica skandalından hemen sonra ve kötü amaçlı “kazıma” etkinliğinin saptandığı tarih olan Nisan 2018’de kaldırdı. 2019’a gelindiğinde, TechCrunch tarafından da rapor edildiği gibi, bir güvenlik araştırma şirketi çevrimiçi korumasız bir veritabanında 400 milyon Facebook hesabına ait kayıtlar buldu. O dönemde Facebook verilerin tarihini doğruladı ve verilerin 2018 yılında, arama özelliği kaldırılmadan önce toplanmış gibi göründüğünü açıkladı. Korumasız veriler açık erişimden kaldırıldı. 

Son günlerde, CNN ve çok sayıda başka medya kuruluşu, güvenlik araştırmacılarının bir kez daha 2019 yılında rapor edilen kazınmış verilerin aynısı gibi görünen verilerin yer aldığı ve herkes tarafından erişilebilen korumasız bir veritabanı saptadıklarını bildirdi. İrlanda Veri Koruma Komisyonu‘ndan (DPC) yapılan alıntılara göre, TechCrunch tarafından da rapor edildiği gibi, 2018 yılında kazındığı için orijinal veri kümesinin de bu veritabanına eklenmiş olabileceğine dair bazı spekülasyonlar var. DPC’nin ihlalin Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girmeden önce gerçekleşip gerçekleşmediğinden emin olmak için tüm bilgileri saptamaya çalıştığı ifade ediliyor. 

Kazıma tarihinde kurbanın Facebook profili herkese açıksa kötü amaçlı aktörler, kurbana ait bir profil oluşturmak için kullanılabilecek daha fazla ve daha kişisel bilgiler toplamış olabilir. Kişiyi tanımlamak için kullanılabilecek zengin bilgiler içeren veriler kimlik bilgileri hırsızlığı, hedefli kimlik avı saldırıları, sosyal mühendislik, hesap ele geçirme ve ciddi yıkım ve hasara neden olabilecek diğer dolandırıcılık girişimlerinde kurbana karşı kullanılabilir.

Verilerin değeri zaman içinde azalır mı? Cevap hem evet hem hayır. Bugün 2018 yılında sahip olduğum telefon numarasının aynısına sahibim, doğum tarihi gibi değişmeyen bilgiler aynı kalmış durumda ve hatta etkinlik zaman akışı değişmedi ama sadece verilerin toplandığı tarihte durdu. Ancak bu verilerin içermediği parolalar, büyük olasılıkla son üç yıl içinde değiştirildi. 

Veri ihlali takip web sitesi Have I Been Pwned (HIBP) korumasız ve herkesin erişimine açık verilerde bulunan kayıtların sadece 2.5 milyon tanesinde bir e-posta adresi olduğunu belirtiyor; ancak, birçok kayıtta adlar, cinsiyet, doğum tarihi, konum, ilişki durumu ve işveren gibi bilgiler yer alıyor. Bu gibi verileri, bir e-posta adresi olmadan da, kimlik bilgilerimin suistimal edilmesi ve endişelenmem gereken bir şey gibi düşünürdüm. 

Etkilenip etkilenmediğinizi nasıl kontrol edebilirsiniz? 

Bir e-posta içeren kullanıcı hesapları için konuşmak gerekirse, kötü amaçlı aktörler e-posta adresini ve sık kullanılan parolalar ile kaba kuvvet tekniklerini kullanarak Facebook ya da diğer site ve hizmetlere erişmeyi deneyebilirler. Kurban basit parolalar kullanıyor, birçok sitede aynı parolayı kullanıyor ve bunları asla değiştirmiyorsa hemen harekete geçmesi gerekiyor - parolaları değiştirin, parolaları benzersiz ve karmaşık hale getirin ve lütfen çok faktörlü kimlik doğrulaması özelliğini etkinleştirin. 2,5 milyon kişiden biri olup olmadığınızı HIBP web sitesinden öğrenebilirsiniz. 

Belki daha da önemlisi, site herkesin veri ihlalinde telefon numaralarının ifşa edilip edilmediğinikontrol etmesini de sağlıyor. 

Sızdırılan çok sayıda telefon numarasının ötesinde, bu neden önemli? Daha önce Netflix parolanızı değiştirmenizi isteyen ya da sizi bekleyen bir hediye kartı olduğunu söyleyen bir SMS mesajı aldıysanız kötü aktörlerin paraya dönüştürebilecekleri verilere erişmelerini sağlayacak bir tepkiyi sosyal mühendislik yöntemleriyle tasarlamak için ellerindeki adınız ve telefon numaranız gibi bilgileri kullanabilecekleri konusunda dikkatli olmalısınız. Kötü amaçlı aktörlerin bu verileri, aralarında e-posta adresiniz ve diğer kişisel verilerinizin de yer aldığı ihlal edilmiş diğer verilerle birleştirmiş olmaları da yüksek bir olasılıktır ve bu, kötü amaçlı aktörlere, bireylere yönelik güvenilir görünen sosyal mühendislik saldırıları düzenlemeye yetecek kadar bilgi sağlar. 

Aldığınız her mesaja ve e-postaya karşı ihtiyatlı ve şüpheci bir tutumla yaklaşmak, çevrimiçi hesaplarınızı korumanıza yardımcı olacaktır. Bunu her hesap için benzersiz parolalar, çok faktörlü kimlik doğrulaması ve ESET gibi iyi bir güvenlik yazılımı kullanmakla bir araya getirmeniz, güvende kalmanıza yardımcı olacaktır. Parolalarınızı hatırlayamıyor ya da benzersiz, karmaşık parolalar oluşturamıyorsanız bir parola yöneticisi kullanmayı düşünün.