Sosyal medya sayfanızın profil kısmına ne kadar kişisel bilgi koyuyorsunuz?
İsim, yaşanan yer, yaş, meslek, medeni hal ve profil fotoğrafı? İnsanların sosyal medyada ne kadar kişisel bilgi paylaşmaya istekli olduğu kişiden kişiye değişiyor.
Fakat çoğu kişi sosyal medya profillerimize koyduğumuz bilgilerin artık herkesin erişimine açık olduğunun farkında.
O zaman, hakkınızdaki bütün bilgiler bir siber-korsan tarafından derlenip, milyonlarca başka insanın kişisel bilgileriyle beraber listeler halinde en yüksek fiyatı ödeyen siber-suçluya verilse ne hissedersiniz?
Kendisini Tom Liner diye tanıtan bir siber-korsan geçen ay "eğlencesine" bu şekilde dünyanın her yerinden 700 milyon Linkedin kullanıcısının kişisel bilgilerini bir veri tabanına topladı ve 5 bin dolar verene satmaya başladı.
Bu ve benzeri sosyal medyadan bilgi toplama olayları, profillerimizde açık olarak paylaştığımız kişisel bilgilerin daha iyi korunması gerekip gerekmediği konusunda hararetli bir tartışma başlattı.
Tom Liner'a dönersek, kendisini bu isimle tanıtan kişi elindeki verileri satışa çıkardığını, kötü şöhretli bir siber-korsanlık forumunda İngiltere saatiyle sabah 08:57'de ilan etti.
Bu bir siber korsan için tuhaf sayılacak kadar medeni bir saat, ama tabii kendisinin hangi zaman diliminde yaşadığı hakkında en küçük bir fikir sahibi değiliz.
Mesajda "Selam, elimde 2021'e ait 700 milyon Linkedin kaydı var" dedi.
Ayrıca, elindeki Linkedin kayıtlarının bir milyonunun görülebildiği bir internet linki verdi ve ve kendisine derlediği veriler için teklifte bulunmak isteyen diğer korsanların ona özel olarak yazması için bir de davet paylaştı.
Satış, siber-korsanlık dünyasını şöyle bir salladı ve Tom bana verilerini "çok sayıda" mutlu müşteriye 5 bin dolar karşılığında sattığını söyledi.
Elbette müşterilerinin kim olduğunu ve bu bilgileri neden elde etmek istediklerini söylemedi ama verilerin muhtemelen siber saldırılarda kullanılacağını düşünüyor.
Haber kuşkusuz aynı zamanda siber-güvenlik ve kişisel bilgilerin korunmasıyla görevli kuruluşları da sosyal medyadan bu tür "dev boyutlarda bilgi kazınmasından" kaygılanmak gerekip gerekmediği konusunda hararetli bir tartışmaya sürükledi.
Buradaki kritik nokta bu veri tabanlarının, korsanlık yapılmadan yani başkalarının sitelerine, sosyal ağlarına ya da hesaplarına sızmadan, açıktaki bilgilerle yaratılmış olması.
Çoğunlukla herkese açık ne kadar bilgi varsa tarayıp, tasnif eden otomatik programların yardımıyla sosyal medya platformlarındaki profillerin taranması yöntemiyle oluşturuluyorlar.
Teorik olarak bu bilgilerin çoğu zaten tek tek kişilerin sosyal medya hesaplarında aynısıyla mevcut. Ama tabi ki bunların milyonlarcasını bir araya getirmek sıradan bir kişi için bir ömür alabilir.
Bu yıl şu ana kadar en az üç büyük "bilgi kazıma" olayı yaşandı.
Nisan ayında bir siber korsan Linkedin'den kazıdığı 500 milyon kaydı satışa çıkardı.
Aynı hafta bir başka korsan Clubhouse profillerinden kazıdığı 1,3 milyon profil bilgisini bedava kullanıma sundu.
Yine Nisan ayında 533 milyon Facebook kullanıcısına ait eski ve yeni kazıntılar bir siber korsanlık sitesinde bağış karşılığı kullanıma sunuldu.
Facebook'tan bu "kazımayı" yaptığını söyleyen korsan, kendisini Tom Liner olarak tanıtıyor.
Telegram adlı anlık mesaj uygulaması üzerinden Tom Liner ile üç haftadan fazla süre yazıştım.
Liner kimi mesajlarını gece yarısı kimisini de iş saatlerinde atıyordu. Dolayısıyla nerede bulunduğu konusunda buradan bir ipucu çıkmıyor.
Gündelik yaşamı hakkında elde edebildiğim az sayıdaki ipucu ise kendisinin, eşi uyuduğu için telefonda konuşamadığı, düzenli bir işte çalıştığı ve korsanlığı hobi olarak yaptığı yolundaki sözlerine dayanıyor.
Tom bana Linkedin'den 700 milyon kaydı, Facebook'tan yaptığı kazıma ile tamamen aynı yöntemle topladığını söyledi.
"Aylarımı aldı. Çok karmaşık bir işti. Linkedin'in programlama arayüzünü hacklemek zorunda kaldım. Eğer kullanıcı verileri hakkında bir defada çok sayıda istekte bulunursanız sistem sizi daimi olarak engelliyor" dedi.
Çoğu sosyal paylaşım ağı, API yani programlama ar yüzünü başka şirketlere satıyor. Böylece diğer şirketler de sosyal paylaşım platformu kullanıcılarının verilerine reklam ya da başka uygulamalar yerleştirmek üzere erişebiliyorlar.
Tom, Linkedin yazılımını yanıltmak suretiyle kendisine sistemi alarma geçirmeden çok sayıda veriyi aktarmasını sağlamanın bir yolunu bulduğunu söylüyor.
Veri tabanının satışa çıkarıldığını ilk farkeden siber-güvenlik kuruluşu Privacy Shark, Tom Liner'in linkini verdiği ücretsiz "nümune"yi inceledi ve listenin kullanıcıların tam isimleri, e-posta adresleri, cinsiyetleri, telefon numaraları ve mesleki ya da kurumsal bilgilerini içerdiğini gördü.
Linkedin ise Tom Lines'ın, uygulamalarının API'sini kullanmadığı ve bunun bir veri güvenliği ihlali olmadığında ısrar ediyor ama satışa sunduğu verilerin "başka kaynakların yanı sıra kendi sitesinden kazınmış bilgiler de içerdiğini" kabul ediyor.
"Bu yeni bir Linkedin güvenliği ihlali değil ve hiçbir Linkedin üyesinin gizli bilgileri sızdırılmadı. Linkedin'den bilgi kazımak bizim Hizmet Koşulları sözleşmemizin ihlalidir ve üyelerimizin kişisel mahremiyetinin korunması için sürekli çaba içerisindeyiz" diye sürdürüyor.
Nisan ayında yaşanan veri kazıma olayının yarattığı endişelere cevaben Facebook da benzer bir tutum izledi ve bunların eski kazıma bilgiler olduğunu ileri sürdü.
Facebook basın bürosu görevlilerinden biri, izledikleri stratejinin "veri kazımanın, sektörün genel bir sorunu olduğunu anlatmak ve zaten hep sürdürülen bir faaliyet olduğunu söyleyerek normalleştirmek" olduğunu bir gazeteciye yanlışlıkla ağzından kaçırdı.
Ne var ki siber-korsanlar bu veri tabanlarını satarak para kazanıyor ve bu da bazı siber-güvenlik uzmanlarını kaygılandırıyor.
SOS Intelligence adlı tehdit istihbaratı raporları hazırlayan şirketin kurucusu ve CEO'su Amir Hadžipašić, gece gündüz "karanlık internet ağlarında" korsan forumlarını tarıyor.
700 milyon Linkedin kaydının satıldığı haberi patlar patlamaz ekibiyle birlikte verileri analiz etmeye girişmiş.
Hadžipašić, bu ve buna benzer büyük-kazıma olaylarındaki ayrıntıların, birçok insanın normal olarak kamusal alanda bulmayı beklemediği şeyler olduğunu söylüyor. API yani program arayüzlerinin, kullanıcılar hakkında, dışardan görülenden çok daha fazla bilgi verdiğini, bu nedenle de daha sıkı kontrol edilmesi gerektiğini düşünüyor.
"Bu tür büyük ölçekli sızıntılar, bazı durumlarda detaylara bakıldığında kaygı verici. Kişilerin nerede yaşadığı, özel telefon numaraları ya da e-posta adresleri gibi. Çoğu insan API hizmetlerinde bu kadar bilgi tutulmasını şaşırtıcı buluyor. Bu bilgiler yanlış ellere geçtiğinde bir kişi için çok önemli sonuçlar yaratabilir" diye sürdürüyor.
Tom Liner, elindeki veri tabanının kötücül saldırılar için kullanılması ihtimalinin yüksek olduğunu biliyor.
Bunun onu rahatsız etmediğini söylüyor ama neden hala kazıma faaliyetlerini sürdürdüğü sorusunu yanıtlamıyor.
İngiltere'nin güneyinde yaşayan Amir Hadžipašić, Linkedin verilerini satın alan siber-korsanların bunları şirket patronları gibi üst düzey kişilere yönelik saldırılarda kullanabileceklerini düşünüyor.
Ayrıca veri tabanındaki milyonlarca aktif e-posta adresinin dev dolandırıcılık saldırılarında kullanılabileceğini de ekliyor.
Fakat meslek hayatının büyük kısmını hacklenmiş verileri inceleyerek geçiren siber-güvenlik uzmanı Troy Hunt, son "kazıma" faaliyetlerini pek kaygı verici bulmuyor. Bunun artık profil paylaşmamızın kaçınılmaz bir parçası olarak kabul edilmesi gerektiğini savunuyor.
"Bunlar kesinlikle ihlal değil. Bu noktada tereddüte yer yok. Bunların çoğu zaten kamusal alandaki bilgiler" diyor.
"Fakat her bir olayda sorulması gereken şey, bu bilgilerin ne kadarının kullanıcının tercihiyle oraya konduğu ve ne kadarına herkesin ulaşamaması gerektiği" diye ekliyor.
Troy, buna karşılık sosyal ağları kontrol eden API programlarının geliştirilmesi gerektiğini kabul ediyor ve böyle bir sorun yokmuş gibi davranılamayacağını söylüyor.
Tom Liner'a gelince, yaptıkları yüzünden muhtemelen sosyal ağlar tarafından fikri mülkiyet hakları ya da telif hırsızlığı ve ihlali ile suçlanabilir.
Kim olduğu ve nerede yaşadığı keşfedilse bile muhtemelen çok büyük bir cezayla karşılaşmaz.
Ama mesajlaşmamız sırasında, tutuklanmaktan korkup korkmadığını sorduğumda "Hayır. Beni kimse bulamaz" yazıp "İyi günler" diyerek görüşmeye son verdi.