Geçen hafta basında, Instagram’ın 17,5 Milyon kullanıcının verilerinin açığa çıktığı iddiaları yer alıyordu. Verilerin yeraltı forumlarında sunulduğu veya tartışıldığı iddia edildi.
Çok kullanıcılı büyük platformlardan veri sızıntıları, son zamanlarda çokca rastladığımız bir iddia haline geldi. Örneğin geçen haziranda, Google ve Apple gibi platformlardan sızan 16 milyar şifre konuşuldu. Yine aynı ay içinde Getir ve Bitaksi’den veri sızıntısı haberleri çıktı. Aralık ayında Güney Kore e-Ticaret devinden 34 milyon müşteri verisi sızdı haberi duyuldu. Ekim ayında Discord’un kullanıcı verilerinin hacklendiği duyuldu.
Ancak bu platformların hemen hepsinden, olaylar duyulduktan az sonra ilginç bir şekilde, yalanlama geliyor. Aslında veri sızıntısı olmadığı ama bilmemne fonksiyonunda ufak bir açık olduğu, onun da hemen düzeltildiği türünden bir açıklama.
Instagram’da da durum farklı değildi. Yalanlama ve küçük sorunun giderildiğine dair açıklama duyduk. Şirket, “harici bir tarafın” şifre sıfırlama e-postaları göndermesine olanak tanıyan teknik bir sorunu tespit edip düzelttiğini, ancak hiçbir iç sistemin hacklenmediğini ve hiçbir kullanıcı şifresine erişilmediğini söyledi.
Instagram, olayı “veri ihlali değil, işlevselliğin kötüye kullanımı“ olarak nitelendirdi. Harici bir aktörün şifre sıfırlama e-postalarını tetiklemesine olanak tanıyan, ama kullanıcı şifrelerine erişim ve Instagram’ın temel sistemlerine yetkisiz giriş sağlamayan bir güvenlik açığı olduğunu açıkladı. Arkasından da, sorunun tamamen çözüldüğünü ve kusurdan kaynaklanan yaygın hesap ele geçirilmesine dair hiçbir kanıt bulunmadığını söyledi.
Veri Kazıma mı, İhlal mi?
Instagram’ın haklı olduğu bir nokta olabilir. Bu tür haberler bilerek ya da bilmeyerek, veri kazıma ve istismara dayalı veri toplama işlemleri sonrasında elde edilen kişisel verilerin, “veri sızması” diye sunulması şeklinde olabiliyor. Kamuoyu algısı açısından, “ihlal” ve “kötüye kullanım” arasındaki fark genellikle kayboluyor. Ama bu, siber güvenlik açısından önemli bir ayrım.
“Veri kazıma” dediğimiz olay, web üzerindeki verilerin otomatik yazılımlarla toplanmasıdır. Örneğin yazarların olduğu bir web sitesindeki mail adreslerinin taranması gibi. İstismara dayalı veri toplama ise, örneğin mail ile gönderilen link tıklandığında ya da linkteki formun doldurulması istendiği çalınan bilgilerdir. Bunlar veri sızıntısı anlamına gelmez ama hedeflenen kişilerin verilerinin toplanması anlamına gelir.
Ama hiçbir parola sızdırılmamış olsa bile, platformların büyük ölçekte parola sıfırlama e-postaları için ortam sağlama özelliği önemsiz değildir. Gerçek sıfırlama e-postalarını takip eden sahte sıfırlama e-postalarıyla gerçekleştirilen kimlik avı kampanyalarına ya da aktif kullanıcıları haritalayarak kimlik bilgilerini ele geçirme hazırlığına yol açabilir. Kısacası, klasik anlamda bir ihlal olmasa da, bu tür güvenlik açıkları operasyonel olarak tehlikeli olabilir.
Meta’nın Daha Geniş Güvenlik Bağlamı
Instagram’ın ana şirketi Meta, otomatik kötüye kullanım tespiti, hesap bütünlüğü ve yapay zeka destekli tehdit izlemeye büyük yatırımlar yaptı. Ancak platformlarının ölçeği -milyarlarca kullanıcı ve dış sistemlerle sürekli etkileşim- küçük kusurların büyük sonuçlar doğurabileceği bir ortam yaratıyor. Platformlar temel veritabanlarını güçlendirdikçe, saldırganlar API’leri, e-Postaları, kurtarma mekanizmalarını ve üçüncü taraf entegrasyonlarını giderek daha fazla hedef alıyor.
Şifre sıfırlama sistemleri, kimlik, güven ve kullanıcı davranışının kesiştiği noktada yer aldıkları için özellikle cazip bir hedef halinde.
Kullanıcıların, iki faktörlü kimlik doğrulamayı etkinleştirmesi, beklenmedik şifre sıfırlama e-postalarına dikkatli yaklaşması, bilinmeyen adreslerden gelene-postalardaki bağlantılara tıklamaktan kaçınması ve hesap güvenlik ayarlarını düzenli olarak gözden geçirmesi gerekli.
Platformlar için de ders aynı derecede açık, hesap kurtarma mekanizmaları artık ikincil özellikler değil, kritik saldırı yüzeyleridir. Bu konuda daha güvenli mekanizmalara ihtiyaç var.
Platformların Yalanlaması Ne Kadar Doğru?
Başta da belirttik; platform güvenliğinde son zamanlarda, bu süreçler tekrarlıyor. Yani; büyük ölçekli ihlal duyuluyor. Platformlar, sistemin tehlikeye atıldığını yalanlıyor. Temel nedeni, meşru bir özelliğin kötüye kullanımı olarak tanımlıyor ve arkasından sorun çözüldü açıklaması yapılıyor.
Instagram’ın inkârı teknik anlamda doğru olabilir, ancak bu olay, güvenlik risklerinin ihlaller, hatalar ve kötüye kullanım arasında giderek daha fazla gri alanda yer aldığını gösteriyor.
Otomatik saldırılar ve kitlesel sosyal mühendislik çağında, bir ihlalin olmaması otomatik olarak riskin olmadığı anlamına gelmez. Ve kullanıcı tabanları büyüdükçe, “sınırlı” güvenlik açıkları bile milyonları etkileyebilir.
Platformlar için gelecekteki zorluk, bu sorunları hızlı bir şekilde çözmenin yanı sıra, etkilerini küçümsemeden güveni koruyacak şekilde şeffaf bir biçimde iletmek olacaktır.
Kaynak : 