Twitter oldukça kötü bir veri ihlaliyle karşı karşıya. Yüz milyonlarca kullanıcıyı etkileyebilecek ve platform için büyük güvenlik sorunlarına yol açabilecek bu durum, ciddiyetine rağmen, sosyal medya devini saran diğer skandallar ve tartışmalar arasında gözden kaçması kolay oldu. Yine de, eğer ‘mavi kuş’ uygulamasını kullanıyorsanız, Elon Musk’ın c-suite kargaşasının aksine, sizi doğrudan etkileyebileceğinden, bu kesinlikle dikkat etmek isteyeceğiniz bir karışıklıktır.
Olayın kısa versiyonu şu: Twitter’dan bir yıldan uzun bir süre önce çalınan veriler bu hafta büyük bir dark web pazarında kendine yer buldu. İstenen fiyat? “StayMad” takma adını kullanan bir kullanıcı olan ve veri yığınını yayınlayan hacker, verileri artık herkesin satın alabileceği ve inceleyebileceği “Breached” pazarına gönderdi. Önbelleğin en az 235 milyon kişinin bilgilerini kapsadığı tahmin ediliyor.
Bu talihsiz destanda hala pek çok ayrıntı eksik olsa da, Twitter’ın uzun bir dizinin sonuncusu olan güvenlik fiyaskosu hakkında bilmeniz gerekenleri kısa bir özet halinde bir araya getirdik.
Hangi bilgiler ele geçirildi?
Çok sayıda rapora göre, ihlal materyali yaklaşık 235 milyon kişinin e-posta adreslerini ve/veya telefon numaralarını içeriyor. Bu bilgiler, kullanıcıların profillerinden kamuya açık olarak kazınan ayrıntılarla eşleştirildi ve böylece siber suçluların potansiyel kurbanlar hakkında daha eksiksiz veri dosyaları oluşturmasına olanak tanıdı. Bleeping Computer, her bir kullanıcıya ait bilgilerin yalnızca e-posta adresleri ve telefon numaralarını değil, aynı zamanda isimleri, ekran adlarını/kullanıcı tanıtıcılarını, takipçi sayısını ve hesap oluşturma tarihini de içerdiğini bildiriyor. Kısacası: “Breached “den bir paket satın alan herkes, etkilenen tüm Twitter kullanıcılarının iletişim ve kısmi giriş bilgilerine sahip olacak. Bu sadece söz konusu hesaplar için potansiyel bir güvenlik sorunu olmakla kalmıyor, aynı zamanda rastgele dark web fedailerinin iletişim bilgilerine erişmesini istemeyen herkes için büyük bir gizlilik ihlali anlamına geliyor.
Bu nasıl ve ne zaman oldu?
Bu hafta “Breached” programında yer alan veriler aslında 2021 yılında çalındı. Washington Post’a göre, siber suçlular Twitter’ın platformundaki bir API açığından yararlanarak yüz milyonlarca kullanıcı hesabına bağlı hesap sahiplerinin bilgilerini çağırdı. Bu hata, herhangi bir kişinin Twitter’ın sistemlerine bir telefon numarası ya da e-posta girmesine olanak tanıyan tuhaf bir “arama” işlevi oluşturdu ve daha sonra kimlik bilgilerinin aktif bir hesaba bağlı olup olmadığını doğruladı. Hata aynı zamanda söz konusu kimlik bilgisinin hangi hesaba bağlı olduğunu da ortaya çıkarıyordu.
Güvenlik açığı ilk olarak Ocak 2022’de Twitter’ın hata ödül programı tarafından keşfedildi ve ilk olarak geçtiğimiz Ağustos ayında kamuoyuna duyuruldu. Bir blog yazısında şirket, hatanın 2021 yılının Haziran ayında kodunda yapılan bir güncellemenin sonucu olduğunu söyledi. Bu noktada şirket, kullanıcılara “birinin güvenlik açığından yararlandığını gösteren hiçbir kanıt olmadığını” söyledi, ancak ortaya çıktığı üzere tamamen yanılıyorlardı.
Siber suçluların bu açığı tam olarak ne zaman keşfettikleri ve kullanmaya başladıkları belli değil ancak bildiğimiz bir şey varsa o da platformun farkına varmasıyla birlikte bilgisayar korsanlarının çoktan bir sürü insanın verilerini çalmış olduğudur. Bununla birlikte, “İhlal Edilenler” yığınının içindeki toplam bilgi miktarının gerçek olup olmadığı bilinmiyor. Analistler ve gazeteciler verilerin bazı kısımlarını test etmiş ve gerçek hesapları içerdiğini tespit etmişlerdir.
Saldırının arkasında kim var?
Veri ihlalinin arkasındaki siber suçluların kimlikleri bilinmiyor ve tanınmış bir hacker grubu ya da tehdit aktörü ile bağları olup olmadığı belirsiz. Breached’de 200 milyon profil verisini yayınlayan kullanıcı “StayMad” takma adını kullanıyor, ancak bunun dışında hakkında çok az şey biliniyor. Veri ihlalinden kimin sorumlu olduğunu bilmesek de, güvenlik uzmanları siber suçluların çalınan verileri bir dizi çirkin faaliyet yürütmek için kullanabileceğini tahmin ediyor. Uzmanlar, bilgilerin hesap ele geçirme girişimlerinin yanı sıra kimlik avı ve etkilenen kullanıcıların tacizi için kullanılabileceğini tahmin ediyor.
Twitter bu konuda ne yaptı?
Anladığımız kadarıyla Twitter, bu veri ihlalinin en son yinelemesi hakkında neredeyse hiçbir şey yapmadı. Geçen yaz API hatasını kabul ettikten sonra, şirket pek fazla güncelleme sunmadı ve kullanıcı verilerinin satılık olarak sıralandığı son liste hakkında da yorum yapmadı. Bir teknoloji portalı Perşembe günü “Breached” olayı hakkında yorum almak için şirkete ulaştı ancak geri dönüş alamadı. Elon’un işten çıkarılmasından sonra Twitter’ın artık bir halkla ilişkiler departmanı bulunmuyor. Platform güvenlik fiyaskosunu ele almaya karar verirse, bu haber hakkında daha fazla bilgi sahibi olunacağı kesin.
Peki siz ne yapabilirsiniz?
Ne yazık ki yapabileceğiniz pek bir şey yok. Verileri kendiniz satın alıp incelemediğiniz sürece, etkilenip etkilenmediğinizi nasıl doğrulayacağınız belli değil. Bununla birlikte, verilerinizin açığa çıkmış olabileceğinden endişe ediyorsanız, bir öneri, ihlalden etkilenmiş olabilecek hesap kimlik bilgilerini yakmak olacaktır. Bir e-posta adresini değiştirmek kolay olabilir ancak açığa çıkan bir telefon numarası biraz daha karmaşıktır. Telefon numaraları e-postalara göre daha az atılabilir, yine de gizliliğiniz konusunda endişeleriniz varsa her zaman cep telefonu sağlayıcınızla iletişime geçebilir ve telefon numarası değişikliği talep edebilirsiniz. Aynı zamanda, Twitter hesabınızla ilişkili e-posta adresini ve/veya telefon numarasını değiştirmeli ve hesabın güvenliğini tamamen sizin ellerinize bırakan çok faktörlü kimlik doğrulama kullanmalısınız.
