Kişisel Veriler Makale Siber Güvenlik

Benim Verim Kimin Cebinde?

İnternette geçirdiğimiz süre her geçen gün artarken kullandığımız uygulama sayısı da gittikçe artmaya devam ediyor. Öyle ki bir dönem telefonda yeterli yer olmadığı için kullanmadığımız uygulamaları kaldırmak zorunda kalıyorduk.

Kullandığımız uygulamalarının sayısı artması sadece telefondaki hafızanın dolmasına neden olmuyor. Üye olduğumuz her platformun potansiyel siber saldırı altında bu da verilerimizin başkaları tarafından ele geçirilmesi konusunda yeni bir alternatif daha demek. Son dönemde özellikle büyük İnternet sitelerin hacklenmesi ve buna bağlı olarak çalınan verilerin İnternet üzerinden satışa çıkarılması, bir çoğumuzun verisinin aslında ortalıkta dolaştığını gösteriyor. Son dönemde Facebook ve LinkedIn ile gündeme gelen veri sızıntılarındaki rakamlar gerçekten göz korkutuyor. Facebook kullanıcısı 533 milyon ve LinkedIn kullanıcısı 500 milyon kişinin verisi komik rakamlar ile İnternet ortamında satışta. Bu iki kurumdan elde edilerek dolaşıma sokulan veriler, yeni bir saldırı olmadan yıllardan beri toplanan verilerin aslında başkalarının elinde dolaştığını gösteriyor.

Facebook veri sızıntısının ana konusu 2019 yılına uzanıyor. O dönem GSM operatörleri üzerinden saldırı gerçekleştiren korsanlar genellikle ülkenin en büyük operatörünün hattını kullanan kişilerin verilerini ele geçirmiş. Türkiye’den sızan veriler kontrol edildiğinde ise bu durum çok net bir şekilde görülmekte, sızan verilerin telefon numaralarının Turkcell’e ait olduğu görülmekte. Buradaki zafiyet Turkcell’den değil Facebook’tan kaynaklanıyor.

Facebook veri sızıntısı ile ilgili detaylı okumak yapmak isteyenler için link: https://www.priviasecurity.com/facebook-veri-sizintisi-ve-telefon-numaralari/

Herkese Whatsapp uygulamasını öneren Facebook kurucusu Mark Zuckerberg’in bile telefon numarasının bu yolla ele geçirildiği ve hatta Zuckerberg’in telefonunun Signal’e kayıtlı olduğu öne sürüldü. Arada bunu söyleyerek Signal uygulamasını kurmanızı önerip linkini buraya bırakıyorum: https://signal.org/download/

Bu olaylarında hemen ardından son günlerin en popüler uygulamalarından Clubhouse’a ait bir veri seti yayınlandı. Yayınlanan verileri bir sızıntı olmadığı, uygulamanın dışarıya açık bir API üzerinden tüm verilerin çekildiği açıklandı. Bu durum bile verilerimizin gizliliğinin ne kadar ihlal edilebildiğine dair çok küçük bir örnek. Aslında tek tek herkesin kendi profillerinde açık olarak paylaştığı verileri, özel olarak hazırlanmış bir yazılım sayesinde toplu olarak ele  geçirilmiş. Buradaki sorun ise API’ye dair bir sınırlama getirilmediği için milyonlarca kullanıcının verisini tek bir havuzda toplanmış durumda.

Bizim Mahalle’de Neler Oluyor?

Yurt dışı kaynaklı üç farklı ve büyük İnternet sitesinin verileri bu şekilde ortalıkta dolaşırken Türkiye’de durum nedir diye sormadan geçmek mümkün değil.

İlginizi çekebilir:  Facebook’un Binlerce Sayfalık İç Haberleşmesi Sızdırıldı

Sondan gidersek, Yemeksepeti sitesinin hacklenmesi ve ele geçirilen verilerin niteliği düşünüldüğü zaman tablo hiç iç açıcı değil.  Türkiye’deki her dört kişinden birinin kullanıcı adı, adres, telefon, e-posta, şifre, IP bilgileri şuan başkalarının elinde. Türkiye’deki olay bununla sınırlı değil ne yazık ki, Facebook ve LinkedIn verilerinin satışa çıkarıldığı İnternet sitesinde E-Devlet sitesi ve farklı sitelere ait veriler de mevcut. Aynı sitede olmasa da bir dönem YSK sitesi üzerinden seçmen verilerinin de ele geçirildiğini biliyoruz. Özellikle E-Devlet gidi kamunun hatta ülkenin en büyük dijital projesine ait verilerin dolaşımda olması biraz göz korkutuyor.

Şu anda kaç farklı sitede üyeliğiniz var ya da kaç farklı uygulama kullanıyorsunuz? Bu sayıyı siz ezbere bilemeyebilirsiniz ama üye olduğunuz her platformun güvenliğiniz açısından gedik açacak bir sürece doğru gittiğini unutmayın.

Ne Yapmalı?

Peki ortalıkta bu kadar çok tehdit varken nasıl korunacağız? Öncelikle şunu belirtmekte fayda var; yüzde yüz güvenlik diye bir şey yok. O yüzden kendinizi tam anlamıyla korumak mümkün değil. Kendinize ait verileri ne kadar sıkı korursanız koruyun, üye olduğumuz onlarca platformdan biri ne yazık ki siber bir saldırıya maruz kalabiliyor. O yüzden tek seferlik basit önlemler yerine kalıcı ve sürekli olan yöntemler ile güvenlik seviyemizi arttırmamız gerekiyor.

Öneriler:

  • Sitelere üye olurken mutlaka her site için farklı parola (şifre değil evet, parola onun adı) kullanın,
  • Kullandığınız parolaları güvenli bir araç ile ve ana parola ile saklayın,
  • Sitelere üye olurken;
    • Mail adresinize @’den önce kayıt olduğunuz sitenin adını yazın. Örnek: subasiramazan+dijitalguvenlik@gmail.com . Bu şekilde bir yazım, ilgili siteden veri sızıntısı olduğunda mail adresinizin nereden sızdığını anlamak için faydalı olacaktır,
    • İsim alanına 2. ad olarak kayıt olduğunuz sitenin adını yazabilirsiniz. Örnek: Ramazan Dijitalgüvenlik Subaşı gibi,
  • Firefox’un sızan verileri takip ettiği Firefox Monitor uygulamasına kayıt olarak sızan veriler arasında size ait veri varsa kontrol edebilirsiniz. Siteye buradaki linkten ulaşabilirsiniz: https://monitor.firefox.com

Bu yazı Friedrich-Ebert-Stiftung (FES) Derneği Türkiye Temsilciliği’nin katkıları ile hazırlanmıştır. Bu yazıda yer alan görüşler FES Derneği Türkiye Temsilciliği’nin görüşlerini temsil etmez.

Yazar Hakkında

Ramazan Subaşı

İzmir Hackerspace'i kurucularındandır. Özgür yazılım, özgür donanım ve dijital aktivizm konularına ilgi duyuyor. Toplumsal Bilgi ve İletişim Derneği kurucu yönetim kurulu üyesidir.