İnternetin Karanlık Sorusu: “Ele Geçirildim mi?”

Web hizmetleri şirketi Yahoo, 2013 ve 2014’te gerçekleşen ve sonucu tarihin en büyük veri sızıntılarından biri olan saldırının hedefi oldu. Şirket bu ihlali üç yıl boyunca açıklamadı ve ancak 2017’de 3 milyar kullanıcının isimlerinin, e-posta adreslerinin, telefon numaralarının, doğum tarihlerinin ve güvenlik sorularının ele geçirildiğini kabul etti. O dönem kapsamı itibarıyla eşi benzeri görülmemiş bir veri ihlaliydi. Fakat bugün bu tür haberler neredeyse günlük hayatın bir parçası haline gelmiş durumda. Üstelik internette dolaşan kişisel veriler artık yalnızca e-posta veya doğum tarihi gibi temel bilgilerle de sınırlı değil. Sağlık kayıtları, davranışsal izler, konum geçmişi, finansal bilgiler, yüz ve biyometrik veriler, özel yazışmalar ve hatta DNA sonuçları. Ekim 2023’te tüketici genetiği şirketi 23andMe’nin 6,9 milyon müşterisinin verilerinin açığa çıkması, veri ihlallerinin ulaştığı yeni boyutu gösteren çarpıcı bir örnek oldu.

Kişisel veriler, dijital ekonominin temelini oluşturan iş modelinin tam merkezinde. Özellikle sosyal medya platformlarının yön verdiği bu ekosistemde, daha fazla kişisel veri demek daha güçlü hedefleme ve daha isabetli tüketici profilleri demek. Bu nedenle şirketlerin temel eğilimi, kullanıcıların mümkün olan her tür verisini toplamaya yöneliyor. Çünkü bu verilerden üretilen tüketici kişiliğinin doğruluğu, tüm ekonomiyi yönlendiren mekanizmanın başarısını belirliyor. Bu yüzden bir veri sızıntısı artık sadece bir parolanın değil; bir kişinin kimliğinin, ilişkilerinin ve davranış geçmişinin açığa çıkması anlamına geliyor.

Bir veri sızıntısı aslında verinin karanlık bir ekosistemde kademeli biçimde el değiştirdiği uzun bir döngü. Saldırganlar önce sistemi sessizce ihlal eder, veriyi çeker ve şirketin çoğu zaman geç fark ettiği bir şantaj pazarlığı başlatır. Ardından veri kapalı dark-web gruplarına sızar, burada paketlenir, fiyatlanır ve farklı sızıntılarla birleştirilerek daha zengin profillere dönüştürülür. Bu “mutasyona uğramış” veri, kimlik hırsızlığından hedefli dolandırıcılığa, siyasi manipülasyondan şantaja kadar uzanan suç ekonomisinin hammaddesi olur. Zamanla dosyalar kopyalanır, çoğalır, farklı forumlara saçılır ve pratikte geri toplamak imkânsız hale gelir. 

Peki, kullanıcının her açıdan zayıf halka olduğu bu döngüde gerçekten yapılabilecek bir şey var mı?

Tarihler 3 Ekim 2013’ü gösterdiğinde teknoloji devi Adobe kullanıcılarını şok eden büyük bir veri sızıntısını duyurdu. Adobe’un açıklamasına göre veri sızıntısı 2.9 milyon kullanıcıyı etkiliyordu. Şirket, müşteri adları, şifrelenmiş kredi veya banka kartı numaraları, son kullanma tarihleri ​​ve müşteri siparişleri ile ilgili diğer bilgilerin saldırganlar tarafından ele geçirildiğini açıkladı. Ancak bu durum buzdağının yalnızca görünen kısmıydı. Naked Security yazarı Paul Ducklin sızıntıların paylaşıldığı bir forum sitesinde Adobe’dan alınan 150 milyondan fazla kullanıcı verisinin paylaşıldığını fark etti. Avustralyalı siber güvenlik uzmanı Tory Hunt ise 12 Kasım 2013’te yayınladığı yazısında Adobe’un verisi sızıntısından yaklaşık 153 milyon kullanıcı etkilediğini duyurdu.

Adobe’da yaşanan veri sızıntısının ardından Troy Hunt, kullanıcıların verilerinin ele geçirilip geçirilmediğini öğrenebilmesi için Aralık 2013’te ‘Ele geçirildim mi?’ anlamına gelen ‘Have I been Pwned?’ adında bir site kurduğunu açıkladı. ‘Pwned’ kelimesi Blizzard’ın ünlü rol yapma oyunu olan Warcraft’taki bir haritadaki "owned" kelimesini yanlış yazılmasıyla ortaya çıktı. Bilgisayar bir oyuncuyu yendiğinde ‘Has been owned’ demesi gerekirken, ‘Has been pwned’ diyordu. Dönemin en popüler oyunlarından birisi olan Warcraft’taki bu hata zamanla İngilizcede bir argo kelime olarak yer aldı.

Adobe’un veri ihlalinin ardından LastPass gibi kuruluşların yanı sıra siber güvenlik işleriyle ilgilenen kişilerin sızan verilerde insanların kendi verileri olup olmadığını kontrol edebilmesi için siteler geliştirdiğini belirten Hunt, önceden yaşanan veri sızıntıları ile alakalı olarak böyle bir site bulunmadığını düşünerek Have I Been Pwned’ı kurma kararı aldığını belirtiyor.

Have I Been Pwned’ın çalışma mantığı oldukça basit. Ana sayfa üzerindeki sorgu kısmına kullanıcının sitelere üye olurken kullandığı mail adresini girmesi gerekiyor. Daha sonra sızan verilerde yapılan aramada mail adresiniz bulunuyorsa, hangi yıl hangi kurumun sızan verilerinde mail adresinizin sızdığına dair bilgiler çıkıyor. Mail adresi kontrolünün yanı sıra Have I Been Pwned 2017 yılında parola arama hizmetini de açtı. Kullanıcılar kullandıkları parolaları sitede aradıktan sonra herhangi bir veri ihlalinde yer alıp almadığını öğrenebiliyorlar.

2018 yılında Firefox’un sahibi olan Mozilla ile Troy Hunt işbirliği yapmaya karar verdiler. 2018 yılının Eylül ayında Firefox Monitör kullanıma sunuldu. Have I Been Pwned’ın verilerini kullanan sistem, Firefox’a kayıtlı mail adreslerinde ve parolalarda bir sızıntı keşfederse kullanıcıya bildirmeyi amaçlıyor. Kullanıcılar isterse bu bildirimlere tarayıcı üzerinden de ulaşabiliyor.

2019 senesinde Google da veri sızıntıları konusunda kullanıcıları bilgilendirmenin önemini fark edip bir eklenti tasarladığını duyurdu. Password Checkup Chrome adı verilen bir eklentinin Chrome eklenti mağazasında yayınlandığı açıklandı. Eklenti sayesinde kullanıcılara şifre ya da hesap bilgilerinin başkalarının eline geçip geçmediğine dair bilgiler veren Google sistemin çalışma prensibini de detaylı bir şekilde açıkladı.

Google, veri ihlali sonucu açığa çıkan bir kullanıcı adı ve şifreyi tespit ettiğinde, bu verilerin güçlü bir şekilde karma ve şifrelenmiş bir kopyasını sakladığını belirtiyor. Bir siteye giriş yapıldığında eklentinin kullanıcı adı ve şifrenin güçlü bir şekilde şifrelenmiş halini Google’a gönderdiği ifade ediliyor. Bu sayede Google’ın bilgileri göremediği söyleniyor. Veri sızıntılarından elde edilen havuz içerisinde ise şifre ve kullanıcı adı aramasının yapıldığını belirten Google, ihlal durumunda kullanıcıya bildirim gönderildiğini ifade ediyor.

Google’ın yayınladığı eklenti 2019’un sonlarında yerleşik bir Chrome özelliği olarak kullanılmaya başlandı. 2023 yılında ise Google Dark Web Raporu adını verdiği ihlaller arasında daha gelişmiş arama yapabilme imkânı sunan özelliğini Google One abonelerinin kullanımına sundu. Bu özellik geçtiğimiz sene tüm kullanıcıların kullanımına sunuldu. 

Google Dark Web Raporu’nda Have Been Pwned’dan ve daha önce kullandığı eklentiden farklı olarak karanlık webi de taradığını ifade ediyor. İhlal sonuçlarında ise isim, adres, telefon numarası, e-posta, kullanıcı adı ve şifre verileri yer alıyor.

2020 yılında Apple da kendi ekosisteminde kayıtlı parolaları ve kullanıcı bilgilerini sızıntılar içerisinde arayan bir sistem geliştirdiklerini açıkladı. Microsoft da Edge tarayıcısı için benzer bir sistemi 2021 senesinde kullanıma sundu. 

Verilerin güvende kalması sadece site sahiplerinin güvenli sistemler kurmasına bağlı değil, kullanıcılar da kendi payına düşen birkaç basit adımı atabilir. Bunların başında güçlü parolalar oluşturmak geliyor. How Secure Is My Password gibi araçlar, yazdığınız parolanın ne kadar sürede kırılabileceğini göstererek size iyi bir fikir verebilir. Ayrıca otomatik güçlü parola üreten ve bunları güvenli şekilde saklayan bir parola yöneticisi kullanmak hem pratik hem de etkili bir çözüm sunar.

Sadece içeriği görmek için sizi zorla kayıt olmaya iten sitelerde geçici e-posta adresleri kullanmak daha güvenli bir tercih. ProtonMail veya Temp Mail bu tür durumlar için uygun servislerdir. Düzenli olarak kullandığınız sitelerde ise mümkünse 2FA, yani iki adımlı doğrulamayı mutlaka etkinleştirmeniz gerekir. Bu, hesabınızı ele geçirme girişimlerine karşı en etkili korumalardan biridir.

Crackli programlar, korsan oyunlar, keygenler ya da işletim sistemini yasa dışı yollarla etkinleştiren yazılımlar gibi zararlı yazılım riski yüksek içeriklerden uzak durmak önemli. Bu tür programlarda saklanan kötü amaçlı yazılımlar, tarayıcınızda kayıtlı çerezler üzerinden tüm hesap bilgilerinize kolayca erişebilir.

Buna ek olarak Google, X, Facebook gibi platformlar aracılığıyla giriş yaptığınız uygulama ve siteleri ara ara kontrol etmek gerekiyor. Artık kullanmadığınız hâlde hâlâ bağlı görünen hesaplardan çıkış yapmak, olası güvenlik risklerini azaltır. Çünkü saldırganlar, yıllar önce kullanılan ve unutulan bu entegrasyonlardaki açıklardan yararlanarak kullanıcıların bilgilerini ele geçirebiliyor.