14-28 mayıs 2023 Cumhurbaşkanlığı seçimlerden bir kaç hafta önce 700 bin Türk TikTok hesabının hacklendiği ve bu şekilde kullanıcıların bilgilerine erişilebildiği gibi, hesapların kontrolleri de ele geçirildi. Dün Forbes’da yayınlanan habere göre, 700 bin Türk TikTok hesabının hacklendiği, TikTok güvenlik şef yardımcısı Kim Albarella tarafından haftalarca önce biliniyordu.
Tiktok’un SMS mesajları ile “gri yönlendirme” olarak isimlendirilen bir açığı olduğu, İngiliz Ulusal Siber Güvenlik Merkezi (İngiliz gizli servis GCHQ’nun alt birimi) tarafından nisan 2022’de TikTok güvenlik şefi Roland Cloutier’e bir e-Posta ile bildirilmiş.
GCHQ, TikTok’u bu açık sayesinde Rusya ve diğer ülkelerde SIM çiftlikleri oluşturulabileceği uyarısında bulunmuş. TikTok kullanıcılarının hesaplarına erişim elde etmek için tek seferlik şifrelerin yönlendirilebildiği bir açık raporlanmış.
“Gri yönlendirme”, uluslararası telekomünikasyon anlaşmaları tarafından belirlenen ücretleri atlatmak için güvenli olmayan kanallar aracılığıyla SMS metin mesajları göndermek anlamına geliyor. Kazançlı bir yol olabilir ama kesinlikle güvensiz bir yöntem.
GCHQ bildirimini araştıran Cloutier’in ekibi, ByteDance’in gerçekten de maliyetleri düşürmek için gri yönlendirme kullandığını öğrenmiş. Ancak değiştirmek maliyetli olacağı için değiştirmemiş.
İşte 700 bin Türk TikTok hesabının seçim öncesinde hacklenmesinde kullanılan yöntem bu. Bu hacklemeyi kimin yaptığı ya da seçimde kullanılıp, kullanılmadığı bilinmiyor. Forbes, Stanford İnternet Gözlemevi’nin direktörü ve Facebook’un eski güvenlik şefi Alex Stamos’a sormuş, o da şunları söylemiş :
“Daha fazla bilgi olmadan ihlalin ne kadar önemli olduğunu bilmek zor. Bu, süper gelişmiş bir spam saldırısından bir devlet aktörüne kadar değişebilir. SMS korsanlığı saldırıları genellikle rastgele değil hedeflidir. Otoritenin devletlerin neredeyse tüm telekom şirketlerinin kontrolünü elinde tuttuğunu hatırlamak lazımdır”
Forbes, saldırıyla ilgili ayrıntılı bir listeye ve sorulara yanıt olarak TikTok sözcüsü Alex Haurek’in bir e-postada şunları yazdığını belirtiyor:
“TikTok, Nisan ayında bazı kullanıcı hesaplarında izleme ve beğeni sayılarını etkileyen olağandışı bir faaliyetin farkına vardı. Bu etkinliği tersine çevirmek ve sonlandırmak için hemen adımlar attık, etkilenen kullanıcıları bilgilendirdik ve hesaplarının güvenliğini sağlamalarına yardımcı olduk . ”
Bu istismarın, TikTok tarafından kabul edilen en büyük ihlal olduğu kaydediliyor.
Yine habere göre, güvenlik açığından kimin yararlandığı da net değil. Ancak Cumhurbaşkanı Tayyip Erdoğana dair epeyce eleştirel cümleler var. Buna karşılık Haurek, dahili bir TikTok soruşturmasına göre, hacklemenin Türkiye seçimleriyle ilgili olduğuna dair hiçbir kanıt bulamadığını söylemiş.
Bu hafta TikTok, uygulamanın, kullanıcıların SMS kodlarını kullanmadan hesaplarına giriş yapmalarının bir yolu olan geçiş anahtarlarını kullanıma sunduğunu ve FIDO Alliance adlı bir menkul kıymet ticaret grubuna katıldığını duyuran bir blog gönderisi yayınladı . FIDO Alliance’dan gelen bir tweet, TikTok’un gruba ilk olarak Nisan ayında katıldığını ve yeni geçiş anahtarları özelliğinin Haziran sonunda kullanıma sunulduğunu gösteriyor.