Elon Musk’ın Twitter’ı devralmasının ardından yaşanan uzun ve kaotik süreçten beri Twitter’da pek çok haber dolaşıyor. Ancak eğer bir Twitter kullanıcısıysanız (ya da hiç kullanmadıysanız), bu makale muhtemelen sonuna kadar okumak isteyeceğiniz bir yazı olabilir. Sosyal medya platformu, yaklaşık 235 milyon Twitter hesabıyla bağlantılı e-posta adreslerini içeren, hazine dolusu sızdırılmış kullanıcı verisinin kendi sistemlerinden gelmediğini iddia etti. Birden fazla rapora göre, kullanıcı bilgilerinin derlenmesi bu ayın başlarında karanlık bir web pazarında yaklaşık 2 dolara satışa sunuldu.
E-posta adresleri ve bunlara karşılık gelen Twitter adresleri hassas bilgiler gibi görünmese de, sızıntı, anonim sosyal medya hesaplarının gerçek dünya kimliklerine bağlanabileceği ve bu bilgilerin hesapların hacklenmesini çok daha kolay hale getireceği endişelerine yol açtı. Başlangıçta Twitter, medya kuruluşlarının yorum ya da bilgi taleplerine yanıt vermedi. Ancak yaklaşık bir hafta sonra şirket bir açıklama yayınladı. Şirket Çarşamba gecesi yayınladığı blog yazısında 235 milyon kullanıcı verisiyle ilgili olarak “Konuyu araştırmak için analiz edilen bilgi ve istihbarata dayanarak, çevrimiçi satılan verilerin Twitter sistemlerindeki bir güvenlik açığından yararlanılarak elde edildiğine dair bir kanıt yok” dedi. Yazıda, “Veriler muhtemelen farklı kaynaklar aracılığıyla halihazırda çevrimiçi olarak kamuya açık olan verilerin bir koleksiyonudur” denildi.
Sızıntının 4 Ocak’ta tespit edilmesinin hemen ardından ‘Bleeping Computer’ın bazı e-postaların geçerliliğini teyit ettiği bildirildi. Siber güvenlik odaklı haber kaynağı ayrıca bu 235 milyon e-posta/hesap çiftini, yaklaşık 400 milyon Twitter hesabıyla bağlantılı hem telefon numaralarını hem de e-postaları içeren, daha önceki bir Aralık sızıntısıyla ilişkilendirdi. Not: Twitter’ın Aralık 2022’de sadece 368 milyon aylık aktif kullanıcısı vardı, dolayısıyla sızdırılan veriler teoride tüm bu hesapları kapsayabilir. Bleeping Computer’ın iddiasına göre, Ocak ayındaki küçük sızıntı, daha önceki verilerin daha az kopya içeren temizlenmiş bir versiyonuydu.
Birden fazla raporda, bu iki veri sızıntısının da Twitter’ın Ağustos 2022’de kamuoyuna açıkladığı daha önceki bir güvenlik hatasıyla ilgili olduğu düşünülüyor. Sosyal platformun uygulama programı arayüzündeki (API) ölümcül bir kusur, herhangi birinin telefonunu veya e-postasını arayarak bir kullanıcının Twitter kimliğini almasına izin verdi. Söz konusu kullanıcının telefonu veya e-postası Twitter tanıtıcısıyla herkese açık bir şekilde bağlantılı olmasa bile. Şirket, API açığının “kötü bir aktör” tarafından satılan verilerle ilgili olduğunu kabul etti ve etkilenen kullanıcıları bilgilendirdiğini iddia etti.
Ancak Çarşamba günü yaptığı açıklamada Twitter bu bağlantıyı yalanladı. Şirket, bir iç soruşturmanın ardından, Aralık ayındaki 400 milyon kullanıcı sızıntısının “daha önce bildirilen olayla ya da yeni bir olayla ilişkilendirilemeyeceğini” iddia ediyor. Ocak ayındaki 200 milyon hesap veri setinin ise “daha önce bildirilen olayla ya da Twitter sistemlerinin istismarından kaynaklanan herhangi bir veriyle ilişkilendirilemeyeceği” belirtildi. Şirket ayrıca her iki veri kümesinin de aynı olduğunu, küçük olanın sadece kopyalardan temizlendiğini ve bunun da daha önceki raporları desteklediğini iddia etti. Twitter’ın blog yazısında ayrıca şirketin şu anda “Veri Koruma Otoriteleri ve diğer ilgili düzenleyicilerle, iddia edilen olay hakkında açıklama sağlamak için” temas halinde olduğu belirtildi. Ancak sitenin açıklaması burada sona eriyor. Twitter, yüz milyonlarca Twitter hesabının verilerinin tam olarak nasıl olup da bir hacker pazarına düştüğü konusunda hiçbir ek bilgi sunmadı. Ve tabii ki, şirketin sorumluluğu reddetmesi, bilgilerin sızdırıldığı gerçeğini değiştirmiyor.
Tüm bu veri fiyaskosu, Twitter’ın uzun ihlal ve güvenlik hataları geçmişinin sadece sonuncusu. 2020 yılında ünlü kullanıcıları hedef alan büyük bir saldırı, diğerlerinin yanı sıra eski Başkan Barack Obama’nın resmi hesabının bir kripto dolandırıcılığını tweetlemesiyle sonuçlanmıştı. Ve 2019’da sosyal medya platformu, Android kullanıcılarından gelen “özel” tweetlerin aslında özel olmadığı anlamına gelen başka bir ihlali açıkladı. İrlanda Veri Koruma Komisyonu, Android ihlalini derhal raporlamadığı ve belgelemediği için Twitter’a yarım milyon dolardan fazla para cezası verdi. Aynı İrlandalı düzenleyici kurum, Aralık ayında duyurulan bir soruşturma kapsamında platformun API güvenlik açığını da araştırıyor.