Veri güvenliği ile ilgili bir rehber hazırlama fikri, yaşanan siber hırsızlığa dair Yemeksepeti’nin yaptığı açıklama ile birlikte ortaya çıkmıştı. Yazı için araştırma yaparken farklı şirketlerden birbiri ardına benzer haberler gelmeye başladı. Yemeksepeti’nin ardından Facebook, LinkedIn ve Clubhouse da yaşadıkları siber saldırılarla haberlere konu oldu. Yaşananlar ilk değil, son olacak gibi de görünmüyor. Peki sorumluluk kimde ve benzer olaylara hazırlıklı olmak mümkün mü?
Ne oldu?
Mart ayının sonunda Yemeksepeti sosyal medya hesapları üzerinden yaptığı açıklama ile bazı kullanıcıların kullanıcı adı, adres, telefon, elektronik posta, şifre, IP bilgilerinin çalındığını duyurdu. 21 milyondan fazla kullanıcının etkilendiği olayda, kredi kartı ya da finansal verilerin güvende olduğu vurgulandı. Ardından, 533 milyon Facebook kullanıcısının telefon numaraları ve kişisel verilerinin çevrimiçi olarak sızdırıldığı haberi geldi. Şirket ise olayın 2019’da yaşandığını ve sorunun çözüldüğünü açıkladı. Ancak ele geçirilen verilerin bir internet forumunda paylaşıldığı yeni ortaya çıktı.
Sızdırılan veriler arasında kullanıcı adı, konum, cinsiyet, meslek, ülke, e-posta adresleri, telefon numaraları ve medeni hal bilgisi var. Hatta Facebook’un kurucusu Mark Zuckerberg’ün bilgilerinin bile forumlarda yer aldığı belirtiliyor. Facebook’un söz konusu sızıntıya sebep olan güvenlik açığı hakkında daha önce uyarıldığı ortaya çıktı. Etkilenenler arasında Türkiye’den 20 milyon kullanıcı da var.
Kaynak: Getty Images, Odd Andersen / AFP
Kullanıcılar ne yapılması gerektiğini düşünmeye başlamışken, ses temelli sosyal medya uygulaması olan Clubhouse’tan 1,3 milyon kişinin ve profesyonel hayatta sıkça kullanılan sosyal ağ LinkedIn’de ise 500 milyon kullanıcının verisinin sızdığı anlaşıldı.
Uzmanlar çalınan bilgilerin güncel örneklerde de gördüğümüz gibi farklı kanallarda ve farklı amaçlar için satılabileceğini, hedefli oltalama saldırılarında veya kimlik hırsızlığı için kullanılabileceğini belirtiyor.
Sorumluluk kimde?
Çözümü yalnızca kullanıcıların atacağı birkaç adımda aramak gerçekçi değil. Birçok öznenin dahil olduğu, farklı kolları olan bir konu veri güvenliği. Kullanıcılar bu öznelerden yalnızca biri. Şirketler ve devletler ise diğer aktörler.
Teknoloji ve dijital güvenlik alanında çalışan yazar Ahmet Sabancı şirketlerin sorumluluğunu şöyle hatırlatıyor: “Bu alana bütçe ayırmaktan ve güvenlik konusunu önemsiz görmekten vazgeçmeleri gerekiyor. Maalesef yeni nesil teknolojiler ve platformların en büyük sorunu önce ürünü yapıp güvenliği sonradan “ihtiyaç olursa” ekleme mantığıyla ilerlemeleri. Bu da bizleri sürekli risk altında bırakan bir durum. Girişimcilerin ve teknoloji geliştiricilerin bu yaklaşımı geride bırakması ve sürecin en başından itibaren güvenliği de temel bir parça olarak görmesi gerekiyor.”
LinkedIn ve Clubhouse örnekleri hatırlanmaya değer. Her iki şirket de söz konusu verilerin halka açık profil bilgilerinden ibaret olduğunu ve durumun bir veri ihlali (data breach) değil, veri kazıma (data scraping) olduğunu belirten açıklamalar yaptı. Ama Genel Veri Koruma Yönetmeliği (GDPR) veri ihlalini, verilerin herkese açık olup olmamasına göre tanımlamıyor. Yani teknik olarak bir ayrım söz konusu olsa da, bu ayrım hukuki bir değişiklik yaratmıyor.
Veri ihlali ve veri kazıma farkı
Önce bu kavramları ayırt edebilmekte fayda var. Veri ihlali (data breach) genellikle yazılımdaki yetersiz erişim kontrolleri veya güvenlik zayıflıkları nedeniyle verilerin savunmasız bir sistemde yanlışlıkla açığa çıktığı bir olay. Veri kazıma (data scraping) ise genel anlamıyla, bir bilgisayar programının veri kaynağından veri çıkarma işlemini ifade ediyor.
Peki bu açıklama kullanıcıların endişe duymaması için yeterli mi? Sabancı, şirketlerin teknik anlamda haklı olduğunu, ancak olası bir güvenlik sorunu da bulunduğunu hatırlatıyor: “Her ne kadar herkese açık bilgiler olarak adlandırılsa da, aslında bu bilgilere erişip toplayabilmek için uygulama/platform içerisinde çok hızlı hareket edebilecek botlar (crawler) kullanılması gerekiyor, kimse öyle büyük bir veriyi tek tek profil ziyaret ederek toplayamaz çünkü. Bu da aslında sistem içerisinde böyle otomasyona bağlı eylemlerin tespit edilemediğinin ve bu tarz yollarla uygulamalar içerisinde başka şeyler yapmanın da mümkün olduğu anlamına geliyor. Özetle, mevcut veriler büyük bir risk teşkil etmese de bunların ele geçirilme şekli platformların başka güvenlik sorunları yaşamasının mümkün olduğunun bir işareti olarak görülebilir.”
Şirketlerin yanıtları, kişisel verilerin gizliliğine ne kadar değer verdikleri hakkında fikir verebiliyor. Hassasiyeti artırabilecek etkenlerden biri, temel bilgi teknolojisi kavramlarına ve dijital okuryazarlık becerilerine hakim kullanıcıların talepleri.
