Baki ÇUBUK

Herkesin herkesten öğreneceği bir şey vardır.

Menu
Follow Us:
Search
Son Yazılar
Buzdolabınız Hakkınızda Ne Biliyor? Akıllı Ev Teknolojisi Çağında Gizliliğinizi Korumak
Farkında bile olmadan veri ihlali yaşadınız: kimlik hırsızlığını körükleyen sessiz sızıntılar.
Microsoft Copilot’a bir yüz kazandırıyor
iPhone 17 muhtemelen Eylül ayının ikinci haftasında piyasaya sürülebilir.
Tarihteki En Büyük Veri İhlalleri: Ölçekleri, Sonuçları ve Hâlâ Neden Önemli Oldukları
Microsoft Authenticator artık parolalarınızı ya da çoğu geçiş anahtarını yönetmeyecek.
Exchange 2016 / 2019 Genişletilmiş Güvenlik Güncellemesi Extended Security Update Programının Duyurulması
Microsoft Authenticator yedekleme işlemi için kişisel hesap (personal account) zorunluluğunu kaldıracak.
SensorLM: Giyilebilir Sensörlerin Diline Hakim Olmak

Farkında bile olmadan veri ihlali yaşadınız: kimlik hırsızlığını körükleyen sessiz sızıntılar.

Genel
bakicubuk

Farkında bile olmadan veri ihlali yaşadınız: kimlik hırsızlığını körükleyen sessiz sızıntılar.

Merhaba

Veri ihlallerinin ve kişisel olarak tanımlanabilir bilgi (PII) sızıntılarının bolluğu, insanlarda duyarsızlaştırıcı bir etki yaratıyor. 2018 yılında, 50 milyon Facebook kullanıcı hesabının ihlal edilmesi beni şoke etmişti. Ancak bu olay, 8 milyardan fazla giriş içeren 100 GB’lık RockYou2021 kimlik bilgisi dökümünün yanında sönük kalıyordu.

Sadece bir ay önce, araştırmacılarımız 16 milyar hesap kimlik bilgisiyle bugüne kadarki en büyük parola sızıntısını ortaya çıkardı. Dünya üzerindeki her bir insan başına iki ihlal edilmiş hesap düştüğü göz önüne alındığında, çevrim içi kimliğinizi korumanın gerçekten bir anlamı olup olmadığını sorgulayabilirsiniz.

Açığa çıkan PII verilerine yönelik azalan kaygı, bu makalede de referans verdiğim ACM Transactions on Computer-Human Interaction (TOCHI) bilimsel dergisinde de ele alınıyor. Söz konusu çalışmaya göre, bir veri ihlalinden sonra ankete katılanların yalnızca %12’si iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmiş. Oysa 2FA, çevrim içi hesap güvenliği açısından en etkili yöntemlerden biri.

Bu da sömürüye açık çok sayıda hesap bırakıyor. Bu tür hesaplar da kullanıcı cihazlarına infostealer (bilgi çalan kötü amaçlı yazılım) bulaştırmak için kullanılabiliyor. Bu yazılımlar, daha hassas verileri çalmak amacıyla sessiz veri sızıntıları gerçekleştiriyor. Facebook gibi çarpıp kaçma şeklindeki büyük ihlallerin aksine, bu fark edilmeyen veri sızıntıları aylarca sürebiliyor ve devasa kimlik bilgisi dökümlerine yol açabiliyor.

Görünmeyen bu ihlallerin ve onların kimlik hırsızlığı risklerinin üzerine biraz ışık tutmayı amaçlıyorum. Yaygın veri sızıntısı yanlış kanılarıyla başlayacağım, ancak dilerseniz son bölümdeki dijital kimlik koruma tavsiyelerime de doğrudan geçebilirsiniz.

Veri Sızıntılarına Dair Önerilerim

Veri gizliliği risklerini hafife almayın.
Kimlik hırsızlığının “her zaman başkalarının başına geldiği” yönündeki yaygın yanlış inanç, birçok kişiyi rehavete sürüklüyor. Oysa gerçek şu ki, dijital kimliğinizi korumamak sizi de kolayca bir kurbana dönüştürebilir.

  • Her ne kadar kişisel bilgi sızıntısı mağdurlarının yalnızca küçük bir kısmı doğrudan finansal kayıplar yaşasa da, bu sizi rahatlatmamalı.
  • Hacker’lar sizin bilgilerinizle sentetik kimlik dolandırıcılığı gibi uzun vadeli planlar yürütüyor olabilir.
  • Bu tür dolandırıcılıkların sonuçları, ihlalden yıllar sonra bile karşınıza çıkabilir — örneğin sahte bir kredi başvurusu, adınıza açılan hesaplar, ya da yasal sorunlar.

Hızlı harekete geçin.
Hacker’lar bir dizi sızdırılmış kimlik bilgisine ulaştıklarında, otomatik yazılımlar kullanarak kısa sürede yüzlerce hesabı hedef alırlar. 2019 yılında, Disney+ hizmeti henüz yeni başlamışken binlerce hesap ele geçirildi. Hacker’lar, daha önce sızdırılmış parolalarla kimlik bilgisi doldurma (credential stuffing) yöntemiyle bu hesapları çaldılar ve giriş bilgilerini hızlıca güncellemeyen kullanıcılar yeni bir abonelik ücreti ödemek zorunda kaldı.

Veri sızıntılarını kontrol edin.
Hızlı harekete geçebilmek için verilerinizin çalındığından haberdar olmanız gerekir. Bunu yapmanın bir yolu, büyük bir e-posta veri sızıntısı veritabanına sahip olan ücretsiz Have I Been Pwned web sitesini kullanmaktır.
Ayrıca, kimlik hırsızlığına karşı koruma hizmetleri edinmenizi de öneririm. Bu hizmetler:

  • kredi bürolarını takip eder,
  • SSN (sosyal güvenlik numarası) sızıntılarına karşı uyarı verir,
  • ve tercihen, kimlik bilgilerinizi hızlıca değiştirmenizi sağlayan bir parola yöneticisi de sunar.

İki faktörlü kimlik doğrulama (2FA) kullanın.
Güçlü ve benzersiz parolalar kullansanız bile, bu parolalar yeni veri sızıntılarında ortaya çıkabilir.
2FA, e-posta, SMS ya da biyometrik doğrulama gibi ikinci bir adımı zorunlu kılar.
Bu sayede, hacker’lar gerçek giriş bilgilerinize ulaşsa bile ek 2FA doğrulamasını geçemezler.
Bu özelliği destekleyen tüm servislerde mutlaka 2FA’yı etkinleştirdiğinizden emin olun.

Sessiz İhlaller Kimlik Hırsızlığını Nasıl Tetikliyor?

Bu yıl FTC (Federal Ticaret Komisyonu), 2024 yılında ABD vatandaşlarının dolandırıcılık nedeniyle 12,5 milyar dolar kaybettiğini, bunun 5,7 milyar dolarının yatırım dolandırıcılıklarına ait olduğunu bildirdi.
Hacker’lar; veri sızıntıları ve sessiz ihlaller, sosyal medya içerikleri ve ele geçirilmiş hesaplar aracılığıyla elde ettikleri kişisel bilgileri kullanarak cazip yatırım teklifleri hazırlar ve mağdurları, kazanç vaadiyle para transferi yapmaya ikna eder.

Bu durumda, sessiz siber saldırı teknikleri özellikle etkilidir.
RedLine ve Vidar gibi infostealer’lar (bilgi çalan yazılımlar), dark net forumlarında yaygın şekilde bulunmaktadır. Bu yazılımlar, güvenliği zayıf cihazlara bulaştıktan sonra aylarca fark edilmeden kullanıcı verilerini toplayabilir.

Bu görünmez siber tehditler, hem şirketleri hem bireysel kullanıcıları hedef alır.
Bunun en bilinen örneklerinden biri, 2018 yılında yaşanan Marriott otel zinciri veri sızıntısıdır.

  • Hacker’lar, 2016 yılında üçüncü bir taraf aracılığıyla Marriott’un bilgisayar ağına sızdı.
  • Veriler iki yıl boyunca gizlice toplandı ve sonunda başarıyla dışarı aktarıldı.
  • Sonuç olarak Marriott, yaklaşık 23,9 milyon dolar para cezası ödemek zorunda kaldı.

Bilmeniz Gereken Dolandırıcılıklar

Verilerinizin ifşa edildiğini öğrendikten sonra, gelecekte karşılaşabileceğiniz kimlik hırsızlığı risklerini net bir şekilde bilmelisiniz. İşte bilgi sızıntılarına büyük ölçüde dayanan üç dolandırıcılık örneği.

Romantik Dolandırıcılıklar

Romantik dolandırıcılıklar, Tinder ve Bumble gibi arkadaşlık uygulamalarında oldukça yaygındır ve mağdurlar için yıkıcı sonuçlar doğurabilir. FBI, “yalnızca 2023 yılında 17.832 mağdurun romantik dolandırıcılıklarda 650 milyon doların üzerinde kayıp bildirdiğini” raporladı.

California, Orange County’de, başarılı bir iş kadını, Luxy adlı arkadaşlık uygulamasında tanıştığı bir dolandırıcının etkisiyle sahte bir kripto para alım satım platformuna 2,3 milyon dolar aktardı. Her romantik dolandırıcılık bu kadar yüksek kayıplara neden olmasa da, bu örnekler ne kadar yıkıcı olabileceklerini gözler önüne seriyor.

Bu dolandırıcılıklar, kişisel bilgilerle beslendiklerinde son derece etkili hâle gelir. Dolandırıcılar, kurbanların sosyal medya hesaplarını tarayarak ilgi alanları, iş deneyimleri, hobileri ve diğer kişisel detayları toplar. Bu sayede, konuşmayı başlatmak ve mağduru kendilerine çekmek çok daha kolay olur.
Sahte bir güven ilişkisi kurulduktan sonra, para transferi istemeye başlarlar ve ardından ortadan kaybolurlar.

Sentetik Kimlik Dolandırıcılığı

Sentetik kimlik hırsızlığı, genellikle SSN (sosyal güvenlik numarası) gibi kişisel tanımlayıcı bilgilerin siber güvenlik sızıntılarından elde edilip sahte bilgilerle birleştirilmesiyle gerçekleşir. Dolandırıcılar, temiz kredi geçmişine sahip kurbanları (bu bir çocuk bile olabilir) hedef alır. Ardından, gerçek bir SSN’i; sahte bir isim, adres ve telefon numarasıyla birleştirerek yeni bir kredi profili oluştururlar.

Sonrasında bu kredi hesabını yavaş yavaş ve gizlice olumlu kredi geçmişiyle beslemeye başlarlar. Aylarca, hatta yıllarca süren bu “ısındırma” sürecinin ardından, dolandırıcılar büyük krediler çeker ve tüm kullanılabilir kredi limitlerini sonuna kadar kullanarak kayıplara karışırlar.

TransUnion kredi bürosu, 2024 yılında sentetik kimlik dolandırıcılıklarından kaynaklanan potansiyel kayıpların 3,3 milyar doları bulduğunu bildirmiştir.

Cambridge Analytica Neden Facebook Profillerini Topladı?

2018 yılında, doktora çalışmalarımın sonlarına doğru eleştirel medya teorisi üzerine yoğunlaştığım dönemde, Cambridge Analytica skandalı patlak verdi ve bu olayı yakından takip ettim. Cambridge Analytica, seçim kampanyalarında politikacılara destek veren İngiliz menşeli bir siyasi danışmanlık ve veri bilimi şirketiydi.

2014 yılında, şirket Facebook’un API açıklarını kullanarak kullanıcı profillerini toplamaya başladı. Bu düzenek, bir anket çalışması kılıfında sunuldu.
Facebook kullanıcıları bu anketi doldurduklarında, verilerini Cambridge Analytica ile farkında olmadan paylaştılar. Daha da önemlisi, bu kullanıcıların arkadaş listesindeki tüm kişilerin verileri de toplandı.

Bu başarılı plan sonucunda yaklaşık 87 milyon Facebook profili toplandı. Cambridge Analytica’nın bu verileri, Donald Trump’ın 2016 seçim kampanyası için kişiselleştirilmiş reklamlar oluşturmakta kullandığı iddia edildi.

Planın olağanüstü karmaşıklığı nedeniyle, Cambridge Analytica’nın seçim sonuçlarındaki doğrudan etkisini kanıtlamak son derece zordu. Ancak FTC, kullanıcı profillerini koruyamadığı gerekçesiyle Facebook’a 5 milyar dolar ceza verdi ve Cambridge Analytica, skandalın ortaya çıkmasından kısa süre sonra iflas etti.

Bu olay bir kimlik hırsızlığı vakası olmasa da, kişisel bilgilerin kötüye kullanılmasının en çarpıcı örneklerinden biridir. Bu durumda mağdurlar maddi kayıp yaşamamış olsa da, politik hedefleme ve manipülasyona maruz kalmışlardır. Bu da, çevrim içi gizlilik korumasının önemini net bir şekilde ortaya koymaktadır.

Gözden Kaçırmış Olabileceğiniz Siber Güvenlik İhlalleri

Önceki bölüm, veri sızıntılarının kimlik hırsızlığını nasıl körüklediğini ve sadece maddi kazançla sınırlı kalmayıp daha karmaşık dolandırıcılık planlarına nasıl zemin hazırladığını ortaya koydu.
Ancak veri ihlallerinin fazlalığı, bilgilerinizi kimin ele geçirdiğini ve nasıl kullandığını takip etmeyi zorlaştırıyor.

Daha İyi Bir Perspektif İçin: Yüzyılımızın En Büyük Veri İhlallerine Ait İnfografiğe Göz Atın

Aşağıda, bu yüzyılda gerçekleşen en büyük veri ihlallerini gösteren infografiği bulabilirsiniz:
(Not: İnfografik görseli burada yer almaktadır.)

Bu infografik sayesinde, hangi şirketlerin ne zaman saldırıya uğradığını ve ne kadar çok kullanıcının etkilendiğini daha net görebilirsiniz. Bu da kişisel dijital güvenliğinizi ciddiye almanız için önemli bir farkındalık yaratabilir.

Ne Yazık ki Gerçek Şu: Çevrim İçi Olan Çoğu Kişi Kişisel Veri Sızıntısı Yaşayacak

Çevrim içi ortamda aktif olan insanların büyük çoğunluğu, yalnızca bu nedenle kişisel veri sızıntısı yaşamaktadır. Her ne kadar hükümetler, kullanıcılarını koruyamayan işletmelere ağır para cezaları uygulasa da, özel sektör ve kamu kurumları siber güvenliklerini yeterince iyileştirene kadar, kimlik koruması için siber hijyen uygulamaları kesinlikle gereklidir.

Veri Sızıntıları Mağdurları Nasıl Etkiler?

Veri sızıntılarının mağdurlar üzerindeki doğrudan etkilerine dair bilimsel araştırmalar oldukça sınırlıdır. Ancak bu konuya odaklanan yeni bir Crime and Justice Journal çalışmasına ulaşabildiğim için şanslıydım. Aynı zamanda TOCHI tarafından yayımlanan kapsamlı “Individuals’ Reactions to Data Breaches” (Bireylerin Veri Sızıntılarına Tepkileri) başlıklı çalışmayı da inceledim.

Her iki araştırma da kişisel veri sızıntılarının etkilerini farklı açılardan analiz ediyor. Öncelikle Crime and Justice Journal çalışmasıyla başlayalım.

Kişisel Veri Sızıntısının Etkileri Üzerine Araştırma

İlk çalışma, Avustralya’dan 552 veri ihlali mağdurunu incelemeye aldı. Araştırmacılar, yalnızca finansal kayıpları değil, çok daha geniş bir yelpazede olumsuz sonuçları değerlendirdi.
Tanımlanan dört temel olumsuz etki:

  • Duygusal çöküntü
  • Sosyal ilişkilerde bozulma
  • Finansal kayıp
  • Sağlık ve genel yaşam kalitesinde düşüş

Bazı bulgular doğrudan anlaşılır nitelikteydi: Örneğin, kişisel fotoğrafların sızması, artan duygusal stresle ilişkilendirildi.
Daha ilginç olan bulgular ise, e-posta bilgilerinin sızdırılmasının hem fiziksel hem finansal iyilik hâlini etkilediğinin düşünülmesiydi. Telefon numarası sızıntısı ise daha çok duygusal yıpranma ile ilişkilendirildi.

Kişisel görüntülerin kaybı, dört etki kategorisinin tamamını kapsayan bir sonuç doğururken, maddi kayıpla sonuçlanan sızıntılar da benzer şekilde çok boyutlu etki yarattı.
Son olarak, güvenilir kabul edilen bir kaynaktan gelen veri ihlalleri, tüm olumsuz sonuçların bir arada yaşanmasına daha çok neden oldu.

Araştırmacılar, örneklem sayısının sınırlı olduğunu ve konunun daha fazla bilimsel çalışmayla desteklenmesi gerektiğini belirtiyor.
Ancak bu araştırmanın asıl değeri, veri sızıntılarının etkilerini kategorilere ayırarak analiz etmesinde yatıyor.

Veri ihlalleri uzun süre boyunca yalnızca finansal kayıplar çerçevesinde ele alınıyordu.
Bu çalışma, dijital yaşantımıza bağımlılığımızın arttığı günümüzde, etkilerin çok daha karmaşık ve çok katmanlı olduğunu ortaya koyuyor.

Sonuç olarak, hangi tür sızıntıların dört kategoride de en çok strese yol açtığı belirlenmiş oluyor. Bu da, veri koruma önceliklerinin belirlenmesi ve veri ihlali ya da kimlik hırsızlığı durumlarında uygulanacak destek mekanizmalarının kişiye özel geliştirilmesi gerektiğini gösteriyor.

Veri İhlalleri Sırasında ve Sonrasında Bireysel (Hareketsizlik) Davranışlar

TOCHI tarafından yapılan ve “Awareness, Intention, (In)Action: Individuals’ Reactions to Data Breaches” başlığını taşıyan ikinci çalışma benzer bir yaklaşım sergiliyor ancak odağı farklı.

Araştırmacılar, Have I Been Pwned sitesi üzerinden sızıntıya uğrayan verilerini gören 413 kişiyi inceledi.

Katılımcılara beş başlangıç ve altı ay sonra iki takip sorusu yöneltildi.
Amaç, veri ihlali farkındalığına verdikleri tepkileri analiz ederek çevrim içi kimliklerini korumak için neler yaptıklarını ortaya koymaktı.

  • Katılımcıların %75’i, veri ihlali riskini düşük düzeyde değerlendirdi.
  • Ancak şifre ve ev adresi gibi daha hassas bilgilerin sızdırılması, öfke, hayal kırıklığı ve zihinsel yorgunluk gibi duygulara yol açtı.
  • Katılımcıların %74’ü, verilerinin sızdırıldığından habersizdi.

Ayrıca, yalnızca %14’ü sızıntının nedenini doğru bir şekilde tespit edebildi; çoğu yanlışlıkla e-posta hizmet sağlayıcısını suçladı.
Takip soruları ise olay sonrası davranışlara ışık tutması açısından dikkat çekiciydi:

  • %69’u kredi raporlarını ve/veya finansal hesap özetlerini gözden geçirdiğini söyledi.
  • Ancak yalnızca %11’i veri sızıntısı bildirim hizmetine abone oldu.
  • Sadece %8’i kimlik hırsızlığı izleme servisine kaydoldu.
  • Ve yalnızca %4’ü kredilerini dondurdu.

Daha olumlu bir sonuç olarak, %34’ü sızıntıya uğrayan hesap şifresini ve aynı şifreyi kullandığı diğer hesapların parolalarını değiştirdi.
%23’ü ilgili hesabı sildi. Ancak daha önce belirtildiği gibi, yalnızca %12’si iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdi.

Bu araştırma, gerçek bir siber tehdit durumunda bile, çoğu insanın kimlik hırsızlığı riskini azaltmaya yönelik adım atmadığını gösteriyor.
Bazı katılımcılar, veri sızıntılarını önemsiz bulduğunu ifade ederken, diğerleri kimlik koruma hizmetlerinin maliyetini ve zahmetini, potansiyel risklere göre fazla bulduklarını belirtti.

Çevrim İçi Kimlik Koruması İçin Önerilerim

Bahsedilen araştırmalar, birbirine bağlı iki önemli soruna dikkat çekiyor.
İlk olarak, veri sızıntılarının mağdurlar üzerindeki etkisi yalnızca finansal kayıplarla sınırlı kalmayıp, duygusal stres, ilişki bozulması ve fiziksel iyi oluşta düşüş gibi çok boyutlu sonuçlar doğuruyor.

Diğer yandan, sadece küçük bir azınlık çevrim içi kimliğini korumaya yönelik proaktif adımlar atıyor. Çoğu kişi durumu ya ciddiye almıyor ya da gereken motivasyon ve kaynaklara sahip değil.

Kurumsal tarafta siber güvenlik gelişmeye devam ediyor, ancak süregelen veri sızıntıları, bu alanda daha gidilecek çok yol olduğunu gösteriyor. Bu nedenle, bireysel inisiyatif almanızı şiddetle tavsiye ederim. İşte çevrim içi kimlik hırsızlığını önlemek için önerilerim:

Veri Sızıntılarını Takip Edin

Kişisel veri sızıntılarını takip etmeyi bir alışkanlık hâline getirin.
Pek çok ücretsiz ve kaliteli e-posta sızıntısı tespit aracı mevcut, ancak otomatik uyarılar sunan özel kimlik koruma yazılımlarına abone olmayı da değerlendirin.

Benzersiz Parolalar Kullanın

Parola hırsızlığı hâlâ hesap ele geçirme yöntemlerinin en yaygın olanıdır.

  • Büyük-küçük harf, rakam ve sembol içeren uzun parolalar kullanın.
  • Aynı parolayı birden fazla hesapta kesinlikle tekrar etmeyin.
  • 2FA (iki faktörlü doğrulama) desteği olan her yerde bu özelliği etkinleştirin.
  • Otomatik doldurma özelliği olan bir parola yöneticisi edinin.

Dijital Ayak İzini Azaltın

Hacker’lar genellikle cihazlara doğrudan sızmaz; bunun yerine veri komisyoncusu siteler ve dark web’deki yasa dışı pazarlar üzerinden bilgileri satın alırlar.
Bu sitelerle bireysel olarak iletişime geçebilir veya dark web izleme hizmeti de sunan bir çevrim içi veri kaldırma servisi kullanabilirsiniz.

Aşırı Paylaşımdan Kaçının

Sosyal medyada paylaşılan kişisel bilgiler, ikna edici oltalama e-postalarının kişiselleştirilmesinde ve sentetik kimlik dolandırıcılıklarında kullanılabilir.
Aşırı paylaşımdan kaçınmak en iyisidir, ancak sosyal yaşamdan tamamen vazgeçmeniz gerekmez.
Sosyal ağ gizlilik ayarlarınızı gözden geçirin ve hesabınızı mümkünse özel yapın.

Son Sözler

Siber güvenliğin paradoksu şudur: İyi çalıştığında hiçbir şey olmaz.
Ancak araştırmalar, çok sayıda insanın veri sızıntısı risklerini hafife aldığını ortaya koyuyor.
Aynı anda FTC ve FBI gibi kurumlar, yatırım, romantik ilişki ve benzeri dolandırıcılıklardan doğan kayıpların hızla arttığını raporluyor.

Yakın zamanda ortaya çıkardığımız 16 milyar hesap bilgisi sızıntısı, bu listedeki hesapların en azından bir kısmına karşı kullanılacaktır.
Ancak unutmayın: Kimlik hırsızlığı çoğu zaman uzun vadeli bir oyundur.
İlk etapta olumsuz bir etki yaşamamış olmanız, ileride hedef alınmayacağınız anlamına gelmez.

Bir yanıt yazın

Related Posts

Başa Dön