Etiket arşivi: bytedance

Dijital Güvenlik

TikTok’ta kritik güvenlik açığı: İsteyen herkes veritabanına ulaşabilir mi?

Yorum yapın

Geçtiğimiz günlerde yayımlanan bir araştırma ile Çinli video paylaşım platformunda TikTok’ta önemli bir güvenlik açığını ortaya çıkardı. “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunu merak eden araştırmacılar kimlik hırsızlığıyla sonuçlanabilecek kritik bir zafiyeti keşfetti.

Siber güvenlik firması Check Point Research araştırmacıları, popüler sosyal medya platformu TikTok kullanıcılarının kişisel verilerini çalmasına izin veren güvenlik açığı tespit etti. Tespit edilen güvenlik açığı TikTok’un “Arkadaş Bul” seçeneğinde bulundu.

Sıklıkla güvenlik açıklarıyla gündeme gelen ve Çin merkezli ByteDance firmasına ait olan TikTok uygulaması, gizlilik ihlallerini önlemek, kullanıcıların verilerini saklı tutabilmek adına bir süredir hata-ödül programı olan HackerOne ile birlikte çalışarak tehdit aktörlerinden önce güvenlik açıklarını bulmak için çalışma başlatmıştı. Yapılan çalışmalarla birlikte birçok açığını yamayan TikTok üzerinde yapılan çalışma ise “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusuna ‘evet’ yanıtını verdi.

AÇIK “ARKADAŞ BUL” SEÇENEĞİNDE

Chech Point Research araştırmacıları Eran Vaknin, Alon Boxiner tarafından yapılan araştırma TikTok’un gizliliğini inceledi. Böylelikle kullanıcı verileriyle ilişkili tüm eylemlere odaklanan araştırmacılar gizlilik açığını TikTok kullanıcılarının tanıyor olabilecekleri kişileri kolayca bulmasını sağlayan “Arkadaş Bul” seçeneğinde buldu.

TikTok uygulamasında “Arkadaş Bul” seçeneğine tıkladığınızda rehberinizdeki kişiler, hash fonksiyonuyla dizilenmiş kişi adları ve telefon numaralarından oluşan bir liste şeklinde HTTP isteği aracılığıyla uygulamaya yükleniyor.

Mavi Balina tehlikesinden çocukları korumanın 7 yolu

Bir sonraki adımda, önceki istekte gönderilen telefon numaralarına bağlı TikTok profillerini alan ikinci bir HTTP isteği gönderiyor. Alınan bu cevapta profil adları, telefon numaraları, fotoğraflar ve profillerle ilgili bilgiler yer alıyor.

Check Point araştırmacıları, elektronik olarak kısıtlanmış bir kaynağa erişmek için kullanılan “X-Tt-Token” belirteci kullanarak “Arkadaş Bul” seçeneğinin diğer bir adımı olan senkronizasyonla isteğinin günlük 500 kişi limitinden kurtulmak için cihaz tanımlayıcısını ele geçirdi. Daha sonra istekler üzerinde oynama yapabildiklerini keşfeden araştırmacılar “Tek bir kullanıcının TikTok’un veritabanına ulaşıp gizlilik ihlaline sebep olabilir mi?” sorusunun yanıtını buldu.

TEHDİT AKTÖRLERİ VERİTABANI OLUŞTURABİLİRDİ

Bulunan güvenlik açığıyla tehdit aktörlerinin, HTTP isteklerini manipüle ederek kullanıcıların karşıya yüklemelerine ve kişilerini senkronize etmelerine olanak tanıyan “Arkadaş Bul” seçeneğiyle kimlik hırsızlığı gibi saldırılarda kullanılabilecek kullanıcı ve telefon numaralarından oluşan bir veritabanı oluşturabilecekleri ortaya çıkarıldı.

GÜVENLİK AÇIĞI GİDERİLDİ

Konuyla ilgili açıklama yapan Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, “Birincil motivasyonumuz TikTok’un gizliliğini keşfetmekti. TikTok platformunun özel kullanıcı verilerine erişim için kullanılıp kullanılamayacağını merak ettik. TikTok’un gizlilik ihlaline neden olan birden fazla koruma mekanizmasını atlatmayı başardık. Güvenlik açığı, bir saldırganın kullanıcı ayrıntıları ve ilgili telefon numaralarından oluşan bir veritabanı oluşturmasına olanak verebilirdi. Bu derecede hassas bilgilere sahip bir saldırgan, hedefli kimlik avı veya diğer suç eylemleri gibi bir dizi kötü amaçlı etkinlik gerçekleştirebilir” ifadelerini kullandı.

Güvenlik açığı, bir yama ile düzeltilse de uygulama ile ilgili soru işaretleri devam ediyor.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Uluslararası İlişkiler

Tekno-milliyetçilik siber güvenlik açıklarımızı kapatmayacak

Yorum yapın

Yoğunlaşan siber çatışmalar ve hızla gelişen tehdit ortamına karşı, dünyanın hemen her köşesinden yeni bir tekno-milliyetçilik dalgası yayılıyor.

Amerika Birleşik Devletleri önderliğinde süregelen siber kamplaşmalarla Çinli şirketlere yönelik yaptırımlar devam ediyor. ByteDance şirketinin TikTok uygulaması da ABD’de federal yargıç kararıyla yasaklanırken benzer şekilde İngiltere de geçtiğimiz günlerde 2021 yılının Eylül ayına kadar Huawei’nin 5G donanımının kurulumunu yasaklayacağını duyurmuştu.

Çin’e karşı yürütülen bu kampanya bununla da kalmıyor. ABD müttefik toplamak için bir taraftan başka ülkelere de yardım ediyor. Örneğin ABD, Brezilya gibi ülkelerin dijital altyapılarını geliştirirken, Çin ekipmanlarından kaçınmaya ikna etmeye çalışırken Washington menşeili alternatifleri kullanması için ülkeye finansal yardım seçenekleri sunuyor.

Yaşanan gelişmelere rağmen bugün dünyanın neredeyse her yerinde insanlar Çin’de üretilen akıllı telefonları kullanıyor, hizmet sağlayıcılar ve çağrı merkezleri aracılığıyla kullanıcıların kişisel bilgileri Hindistan veya Filipinler’deki çeşitli veri merkezlerine dağıtılıyor. Verilerin artık akıcı, mobil ve küresel bir hal alması belirli şirketlerin veya ülkelerin birbirlerinin teknolojilerine yönelik ambargolar koyması nihayetinde güvenlik açısından sınırlı etkiye sahip olması anlamına geliyor.

YANLIŞ BİR GÜVENLİK ALGISI

Tekno-milliyetçilik, gerekçelendirilmiş ekonomik, politik ve ulusal güvenlik endişeleri ağıyla besleniyor. Ulusal güvenlik adı altında “korumacı” uygulamalara başvuran ülkeler belirli teknolojileri, şirketleri veya dijital platformları yasaklıyor veya ambargo uyguluyor, ancak bu uygulamaların jeopolitik mesajlar göndermek, rakip ülkeleri cezalandırmak ya da yerel endüstrileri desteklemek için daha sık kullanıldığını görüyoruz.

Uygulanan bu tümcü yasaklar bizde yanlış bir güvenlik algısı oluşturuyor. Ancak fark etmediğimiz nokta herhangi bir donanım, yazılım veya kritik bir altyapıya yönelik gerçekleştirilen siber casusluklar. Eğer bunun farkında değilsek, sözde güvenliğe dair atılan her adım bir güvenlik illüzyonuna dönüşüyor.

Yazılımların tedarikçiler tarafından kullanılarak hassas verilere ulaşım sağlayabileceğini veya geniş bir siber saldırıyı kolaylaştırmaya izin verebilecek arka kapılar içerebileceği endişesini ciddiye almamız gerekiyor. Bir başka konu ise, TikTok uygulaması için devam eden davada olduğu gibi, ABD vatandaşlarının bir eğlence uygulaması aracılığıyla verilerinin toplanıp ya da sızdırılıp, devlet destekli siber aktörler aracılığıyla federal çalışanları hedefleyip izlemesine veya kurumsal casusluk yapmasına olanak sağlayıp sağlamayacağı konusunu gündeme getirmemiz gerekiyor.

Dünyanın dört bir yanındaki ulus-devletlerin istihbarat toplamak, nüfuz sahibi olmak ve düşmanlarını rahatsız etmek için giderek daha fazla siber operasyonlara yöneldiğini görmezden gelemeyiz. Ancak, birbirlerine yakın veya benzer ideolojide olanlar tarafından yapılan teknolojik uzlaşmanın bizi diğer devletlerin bilgilerimize erişiminden uzak tutmadığını veya daha güvenli hale getirmediğini unutmamamız gerekiyor.

İsrailli şirket yarışma açtı, 16 ülkeden 3500 hacker saldırdı

DİJİTAL HİLELER VE GÜVEN

Tek başına ele alındığında ‘güven’ asla sağlam bir güvenlik stratejisi değildir. Üstelik ‘güven’, siber aktörlerin dijital casusluk projelerinde yaygın olarak kullandığı bir araç olarak karşımıza çıkar. Çok popüler hizmet platformları bile kimlik bilgileri toplama aracı olarak kullanıldığını biliyoruz. Eski ABD Başkanı Reagan’ın bir Rus atasözünden alıntısını yinelemek gerekirse: “Güven, ama doğrula.” Siber güvenlikte doğrulama, kullandığınız teknolojiye körü körüne güvenmek değil, bunun yerine gerçek zamanlı olarak izlemek ve denetlemek için gereken eylemleri gerçekleştirmek anlamına gelir.

Bir bulut sağlayıcısının ABD, Çin veya başka bir yerde bulunup bulunmadığına bakılmaksızın siber aktörler yine de bu teknolojilerdeki güvenlik açıklarından ve her zaman mevcut olan insan hatalarından yararlanmak için yaratıcı yöntemler arayacaklardır. Örneğin, yabancı aktörler bazen sadece işi kendileri için yapması için içeriden bir kişiye ödeme yaparak donanım veya yazılım araçlarının tedarik zincirlerine sızmaya çalışabilirler.

Başka bir deyişle: Tekno-milliyetçilikten veya tersine tekno-küreselcilikten kaynaklanan satın alma kararlarının her ikisi de esasen aynı güvenlik tehditlerine açıktır. Bu nedenle, temeldeki güvenlik stratejimizi ve savunma teknolojilerimizi eleştirel bir şekilde değerlendirmek yerine belirli bir şirketi veya teknolojiyi hedeflediğimizde aslında güvenlik duruşumuzu güçlendirmiyoruz, bunun yerine olduğumuz yerde sayıyoruz.

Ulusal güvenlik, belirli kuruluşlar ve teknolojiler üzerindeki genel yasaklardan çok daha fazlasıdır. Ulusal güvenlik, saldırıların nereden geldiğine veya saldırganların hangi teknolojiyi hedeflediğine bakılmaksızın. siber alandaki tehditlerin her zaman mevcut gerçekliğine karşı siber güvenlik operasyonlarının dayanıklılığı ile ilgilidir.

GÜÇLENME VE İLERLEME

Günümüzde siber saldırılar, tehdit göstergelerini önceden tanımlama girişimlerini geride bırakan bir hızla ilerliyor. Yani ülkelerin siber güvenlik gücü, gelecekteki dış tehditlerin doğasını tahmin etme girişimlerinde değil, normal koşulları dahili olarak anlama ve sürdürme becerisinde yatıyor. Bu gerçek, tehdit aktörünün finansal, stratejik veya politik kaygılarla motive olup olmadığına bakılmaksızın geçerli olan bir durum tespiti olarak karşımıza çıkıyor.

Hal böyle olunca bireysel şirketlere odaklanmak, ülkeleri siber güvenlik gerçeklerinden uzaklaştırıyor. Ulusal güvenlik endişelerini azaltmak içinse alternatif yollar geliştirmemiz gerekiyor. Geliştirilecek alternatif yollar içinse öncelikli olarak teknoloji ekosistemine yönelik bir bakış açısı sunabilmemiz gerekiyor. Eğer bunları başarabilirsek, riskleri yüksekten aşağı çekmemiz olası görünüyor.

Bugünün tekno-milliyetçiliği popülerleşiyor ve ülkeler arasında yükseliyor. Muhtemelen etkisiz olsa da gerçek konulara çok gözlemlenebilir bir şekilde yanıt verdiği için yükselmeye devam edecek gibi görünüyor. Yükseldiği takdirde ise riskler yüksek kalmaya devam edecek.

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ABD, Çin, Dijital Güvenlik, Uluslararası İlişkiler

ABD’den TikTok’a 15 gün ek süre

Yorum yapın
ABD ve Çin arasında  yaşanan gerginliğin merkezinde TikTok yer alıyor

Çin ve ABD arasında yaşanan TikTok gerginliğinde Hazine Bakanlığının kararıyla yeni bir aşamaya geçildi.

ABD, Çinli sosyal medya devi TikTok uygulamasının sahibi ByteDance’a  ülkedeki operasyonlarını elden çıkarmasına ilişkin karar için 15 gün mühlet daha verdi.

Hazine Bakanlığından yapılan yazılı açıklamada, milli güvenliğe ilişkin alınan kararla ilgili durumu çözmeleri taraflara ve Komite’ye 15 gün ek süre tanındığı belirtildi.

ABD Başkanı Donald Trump’ın 14 Ağustos’ta Çinli teknoloji şirketi ByteDance’in ABD’deki operasyonlarını 90 gün içinde elden çıkarmasına yönelik kararname imzalamıştı.

TikTok’un sahibi Bytedance Trump’ı yalanladı: ABD’ye bağış yaptığımızdan haberimiz yok!

TİK TOK’LA İLGİLİ SÜREÇTE NELER YAŞANDI?

Trump, 3 Ağustos’ta ABD’deki temsilciliği bir Amerikan firmasına devredilmediği sürece 15 Eylül’den itibaren TikTok’un ülkede faaliyet yapmaktan men edileceğini kaydetmişti.

ABD Başkanı, 6 Ağustos’ta ise milli güvenliği muhafaza etmek için  ABD’li birey veya tüzel kişilerin TikTok’un yanısıra ve Çinli mesajlaşma yazılımı WeChat’i kullanmalarını yasaklamaya yönelik 2 kararnameyi onaylamıştı.

Kararname sonrası Microsoft’un TikTok’u devralmak için görüşmeler yaptığı öne sürülmüştü. Microsoft’la anlaşma sağlanamazken ByteDance firması Oracle-Wallmart ortaklığı ile anlaşmıştı. Sürecin uzamasının ardından Ticaret Bakanlığından yapılan açıklamayla TikTok’un 20 Eylül’den itibaren ülkede indirilmesinin yasaklanacağı duyurulmuştu.

Trump’ın satın alma işlemiyle ilgili yapılabilecek bir anlaşmayı imzalayacağını açıklaması sonrası, men kararı 27 Eylül’e ertelenmişti. Karar yürürlüğe gireceği gün de Washington’da bir federal mahkeme yasağını geçici olarak askıya almıştı.

Kaynak: Haber Global

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Küresel

TikTok’un sahibi Bytedance Trump’ı yalanladı: ABD’ye bağış yaptığımızdan haberimiz yok!

Yorum yapın

Çinli sosyal medya devi TikTok’un sahibi Bytedance, ABD Başkanı Donald Trump’ın Amerikan ortaklığıyla yeni kurulacak olan TikTok Global şirketinin ülkeye 5 milyar dolarlık eğitim fonu sağlayacağına ilişkin iddiayı yalanladı.

Çin’in tartışmalı sosyal medya platformu TikTok’un Oracle’ın da dahil olduğu bazı ABD’li şirketlerle ortaklık kuracağı yönündeki haberlerin yankısı sürüyor. Başkan Trump Amerika’da yasaklanması gündemde olan TikTok’un faaliyetlerine devam edebilmesi karşılığında ABD’ye eğitim bağışında bulunma sözü verdiğini bildirmişti. Reuters ise TikTok’un sahibi Bytedance’ın sosyal medya postunda yapılan açıklamada Trump’ın bu iddiasını yalanladığını açıkladı. Postta ‘TikTok’un ABD’ye eğitim bağışı kapsamında 5 milyar dolarlık bir fon sağlayacağına ilişkin iddiaları biz de gazetelerden öğrendik” açıklaması yer aldı.

EĞİTİME YATIRIM YAPACAĞIZ

Şirketin resmi Toutiao hesabında şu ifadeler yer aldı: “Şirket, eğitim alanında yatırım yapacağını taahhüt etti. Ayrıca ortakları ve dünya çapında hissedarları ile birlikte öğrencilere yönelik yapay zekaya ve video teknolojisine dayalı bir çevrimiçi sınıf projesi hayata geçirme planları da var.

Trump, TikTok ile yürütülen pazarlığın bir parçası olarak yeni kurulacak şirketin eğitime 5 milyar dolar katkıda bulunacağını ve bu fonun Amerikan gençliğinin eğitiminde kullanılacağını söylemişti. Ancak ne TikTok ne de Oracle’ın açıklamalarında söz konusu fondan bahsedilmemesi dikkat çekti.

ByteDance, ABD Ticaret Bakanlığı’nın geçtiğimiz hafta, uygulamanın yeni indirmelerini ve güncellemelerini engelleyeceklerini açıklamasının ardından TikTok’a yönelik olabilecek herhangi bir baskıyı önlemeye çalışıyordu. ABD’li yetkililer, uygulamayı kullanan 100 milyon kadar Amerikalının kişisel verilerinin Çin Komünist Parti hükümetine aktarılmasından endişe duyuyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

  

ABD, Çin, Uluslararası İlişkiler

TikTok, Microsoft’un teklifini reddetti, Trump’ı destekleyen Oracle’ı teknoloji partneri yapacak

Yorum yapın

ABD ve Çin arasındaki ticaret savaşının en kızgın muharebelerinden birine sahne olan mikro video uygulaması TikTok’un Amerikan operasyonları konusunda önemli bir gelişme yaşandı. ABD Başkanı Donald Trump’ın TikTok’un  ülkedeki operasyonlarının ABD’li bir şirket tarafından satın alınmaması durumunda yasaklanması için verdiği süre dolarkenOracle’ın TikTok’un ABD’deki teknoloji partneri olacağı açıklandı. 

NewYork Times’ın Microsoft kaynaklarına dayandırdığı habere göreTikTok’un sahibi olan ByteDance şirketi Microsoft’un teklifini reddederek Oracle’ı tercih etti. 

TEKNOLOJİ PARTNERİ NE ANLAMA GELİYOR? 

Trump’ın TikTok’u bir ulusal güvenlik sorunu olarak ele almasıyla başlayan süreçte Microsoft. TikTok’un ABD kolunu almak için öne çıkan şirketlerden biri olarak öne çıkıyordu. Konu hakkında gazeteye bilgi veren kaynaklar, Oracle’ın ‘teknoloji partneri’ olarak tercih edilmesinin aynı zamanda ByteDance Amerika’nın çoğunluk hissesini satın alıp almayacağının bilinmediğini dile getirdi. 

Microsoft konuyla ilgili yaptığı resmi açıklamada, TikTok’un ABD operasyonlarının Microsoft’a satılmasının ByteDance tarafından reddedildiği belirtilerek, Microsoft’un verdiği teklifin ulusal güvenlik endişelerini giderirken aynı zamanda uygulamanın kullanıcılarına iyi bir deneyim sunacağını ifade etti. Konuyla ilgili Çinli şirket bir açıklama yapmadı.  

ÇİN TEKNOLOJİ TRANSFERİNİ İZNİNE BAĞLADI 

Trump’ın başkanlık emriyle ByteDance’e tanıdığı süre 20 Eylül’de sona eriyor. Eğer bu süreye kadar şirketin ABD operasyonları Amerikalı bir şirket tarafından satın alınmazsa uygulamanın ABD’de kullanılması yasaklanacak. ABD’nin TikTok’un önünü kesecek hamlesine Çin’den de bir taktik hamle geldi. Pekin Yönetiminin geçen ay çıkardığı yasaya göre, TikTok’un yabancı bir teknoloji firmasına satılması halinde teknolojisini yeni alıcısına transfer etmesi için Çin’in yasal olarak izin vermesi gerekiyor.   

Microsoft ağustosta yaptığı açıklamada, TikTok kullanıcıların mahremiyetini korumak için uygulamanın kullandığı koda erişim elde etmenin gerekli olduğunu açıklamıştı. Bu açıklamanın Pekin Yönetimini rahatsız ettiği ve TikTok’un kodunun başka bir ülkedeki teknoloji şirketine verilmesini mümkün görmediği yorumları yapılıyor. 

ABD’nin ulusal güvenlik problemi olarak gördüğü TikTok’un ülkedeki aylık kullanıcı sayısı 100 milyon. Washington kasım ayında yapılacak başkanlık seçimleri öncesinde 2016’dakine benzer dezenformasyon kampanyalarının yapılmasından ve TikTok’un bu kampanyalara alet olmasından endişe duyuyor.  

TikTok uygulamasının sorunsuz çalışmasını sağlayan teknik altyapı şirketin Çin’deki mühendislik ekibi tarafından sağlanıyor. Şirketin Virginia’da bir veri merkezi bulunurken yedek veri merkezi Singapur’a kuruldu. Microsoft Başkanı Brad Smith bir röportajında TikTok’u almaları halinde kaynak kodunu algoritmalar için ABD’ye getireceklerini duyurmuştu.  

ORACLE – TRUMP YAKINLIĞI 

Konuyla ilgili Oracle’dan bir açıklama henüz yapmazken, şirketin Trump ile ilişkileri dikkat çekiyor. Kasım ayındaki seçimlere hazırlanan Trump’a bir destek Oracle’ın kurucusu Larry Ellison’dan gelmişti. Elison Trump için bir bağış kampanyasına ev sahipliği yapmıştı. Bunun yanı sıra, şirketin üst düzey yöneticisi Safra Catz de Beyaz Saray’ın ziyaretçi listesinde ismi sık geçen biri olarak öne çıkıyor. Catz, Trump’ın geçiş dönemi ekibinde görev almıştı. Trump geçen ay yaptığı açıklamada, TikTok’u Oracle’ın satın almasını istediğini duyurmaktan çekinmemişti.  

 Siber Bülten abone listesine kaydolmak için formu doldurunuz