WhatsApp, tek seferlik mesajların ekran görüntüsünün alınmasını engellemek için yeni bir seçenek getirdi.
Uygulamaya getirilen hassas verileri korumak amacıyla tek kullanımlık mesaj atma seçeneği ekran görüntüsü alınarak boşa çıkarılıyordu.
Yeni güvenlik seçeneği, bir kez görüntülenebilen mesajların ekran fotoğrafının çekilmesini bloke edecek. Ağustos ayında duyurusu yapılan ve uzun süredir test edilen özellik bugün itibariyle tüm kullanıcılar için aktif hale getirildi.
Tek seferlik gönderilen fotoğrafların yanısıra, videoların da ekran kaydı alınamayacak. Özellik başka cihazlardan alınan görüntü ve fotoğrafları engellemiyor.
WhatsApp’a gelen diğer bir gizlilik özelliği ise gruplardan sessizce ayrılma seçeneği. Artık kullanıcılar gruptan ayrıldığında sadece yöneticiler bilgilendirilecek.
Kullanıcılar ayrıca çevrimiçi olduğunda kimlerin bu durumu görebileceğine karar verebilecek.
Facebook’un daha güvenli olduğu gerekçesiyle geçmeyi planladığı uçtan uca şifreleme (E2EE) sistemi İngiltere’de çocuklar için risk oluşturacağı gerekçesiyle tepkiyle karşılanıyor.
İngiltere’de hükümet ve bir grup yardım kuruluşu halka, Facebook’a, haberleşme hizmeti Messenger’a “uçtan uca şifre” (E2EE) koymaması için baskı yapmaya çağırıyor.
Facebook’un “ultra güvenli mesajlaşma sistemini” getirmesi halinde, daha fazla çocuğun internette taciz riski altına gireceği belirtiliyor.
Mahremiyet savunucuları ve teknoloji şirketleri ise, sistemin kişisel mahremiyet ve veri güvenliği için gerektiğini söylüyorlar. İngiltere’de başlayan mücadele, dünya genelinde birçok hükümet bu haliyle uçtan uca şifrelemeye son vermek isterken, yakından izleniyor.
Yıllardır, İngiltere, Avustralya, Kanada, Yeni Zelanda, ABD, Hindistan ve Japonya ile Interpol ve İngiltere’nin suçla mücadele kurumu NCA teknolojiyi eleştirdi.
Bu arada WhatsApp, iMessage ve Signal kullanan milyarlarca kişi uçtan uca şifreleme teknolojisini benimsedi.
ŞİFRELEME İNTERNET BANKACILIĞINDA ÖNEMLİ
Şifreleme, yazılanları okunmaz hale getirmek için veriyi karıştırma yöntemi olarak biliniyor. İnternet bankacılığı ve e-posta gibi hassas internet işlemlerinde bu özellikle önemli. Sistem bir internet sitesi ya da uygulama ve cihazlarımız arasında gizli bir şifre üzerinde anlaşılmasıyla çalışıyor. İnternet üzerinden ilgili hizmetlere gönderdiğimiz tüm bilgiler, gönderilmeden önce şifreleniyor.
İletişim kurduğumuz şirkete ulaştığında, üzerinde uzlaşılan gizli şifreyle, deşifre ediliyor. Bu şifreleme çeşidini herkes memnuniyetle karşılıyor, çünkü internet üzerinde dolaşırken bilgilerimizi bilgisayar korsanlarından ve suçlulardan koruyor.
Ancak bu veriler, bilgileri işleyen şirketler tarafından okunabiliyor ve güvenlik güçleri ya da polis şirketin sakladığı herhangi bir mesajı şirketlerden isteyebiliyor.
UÇTAN UCA ŞİFRELEMEDE VERİ İŞLEYEN DE KODU BİLMİYOR
Uçtan uca şifreleme ise bir adım daha ileri gidiyor. Gönderici ve alıcının üzerinde uzlaştığı gizli kod o kadar gizli ki, veriyi işleyen şirket bile kodu bilmiyor. Bu durum da sadece alıcının mesajları, fotoğrafları ve aramaları deşifre edebilmesi anlamına geliyor.
Sistemin nasıl işlediğini anlamanın en kolay yolu, postadan sadece sizin okuyabileceğiniz bir mektup almayı istediğinizi düşünmek.
Birisine anahtarına sadece sizlerin sahip olduğunuz bir kutu gönderiyorsunuz. İçine mektuplarını koyuyorlar ve kutuyu kapattıklarında kilitliyorlar. Daha sonra açmanız için size türünün tek örneği olan anahtarı gönderiyorlar. Kilitli kutunun dijital versiyonu “Kamuya açık anahtar” diye bilinirken, size has olan anahtar “özel anahtarınız” diye anılıyor.
Sistem, verileri herkesten sakladığı için mahremiyetine önem verenler tarafından çok seviliyor. Mesajlaşma şirketi bile gönderdiğiniz verileri deşifre edemiyor.
Ancak yetkili makamlar, suç faaliyetlerinden şüphelenseler bile mesajları okumalarının, fotoğrafları görmelerinin ya da konuşmaları dinlemelerinin hiçbir yolu olmadığı için bu sistemi sevmiyor.
UÇTAN UCA ŞİFRELEMENİN RİSKLERİ
İngiltere’deki kampanyada çocuklar üzerindeki potansiyel tehlikelere odaklanılıyor. No Place to Hide (Saklanacak Yer Yok) adı verilen kampanyanın sözcüsü E2EE’yi devreye sokmanın “internette çocukları taciz edenleri tespit etme kabiliyetini yitirmek” olduğunu söylüyor.
Polisin, tacizcilerin Facebook Messenger üzerinden çocuklara gönderebilecekleri herhangi bir mesajı okuyamayacağını söylüyorlar.
Bir kampanya sözcüsü “Sosyal medya platformlarına, uçtan uca şifrelemeyi sadece, bunun sonucunda çocukların tehlikeye girmesini önleyecek teknolojiye sahip olduklarında devreye sokacaklarına yönelik bir taahhütte bulunma çağrısı yapıyoruz.” dedi.
ABD Ulusal Kayıp ve İstismar Edilen Çocuklar Merkezi’ne (NCMEC) göre, 2020’de çocukların cinsel tacizini gösteren içeriklerin sosyal medyada paylaşıldığına dair 21,7 milyon ihbar alındı.
Karşıtları, uçtan uca şifrelemenin daha yaygın kullanılması halinde, bu ihbarlardan 14 milyonunun alınamayacağını söylüyor.
Ayrıca, çocukları ve mahremiyeti aynı anda korumak adına çözümler bulmak için teknoloji şirketleriyle birlikte çalışmak istiyorlar.
Geçen yıl Kovid-19 kısıtlamalarının uygulandığı dönemde, çocukların internet üzerinden cinsel istismara maruz kaldıklarının görüldüğü videolarda büyük artış yaşandı.
İnternet güvenliği alanında çalışma yapan İnternet Gözlem Vakfının(IWF) araştırmalarına göre, 2021’de fotoğraf veya video şeklindeki bu görüntülerin yer aldığı toplam 252 bin internet adresi tespit edildi. Bu rakam önceki yıl 153 bin civarındaydı.
İngiltere merkezli vakıf, çocukların manipüle edilerek kendi istismarlarını kayıt altına almalarını içeren görüntülerde önemli artış olduğunu belirtiyor.
Vakıf, özellikle 7-10 yaş grubundaki çocukları içeren bu tür materyallerin üç kat arttığına dikkat çekiyor.
IWF, bu artışın Kovid-19 kısıtlamaları nedeniyle milyonlarca insanın evde daha fazla kalması ve internette daha uzun süre vakit geçirmesinden kaynaklı olabileceğini söylüyor.
ÇOK DAHA KÜÇÜK YAŞTAKİ ÇOCUKLAR HEDEF ALINDI
Araştırmada, kısıtlamalar döneminde, internet üzerinden cinsel istismarlarda çok daha küçük yaştaki çocukların hedef alındığı belirtiliyor.
IWF raporunda, pandemi döneminde çocukların internette daha fazla vakit geçirdikleri vurgulanarak bunun onları, “kamera önünde kendi cinsel istismarlarını kaydetmeye yönelten kriminal toplulukların manipülasyonlarına açık hale getirdiği” ifade ediliyor.
2021’de bu türden 182 bin kayıt tespit edildiği ve bunların 27 bininin 7-10 yaş grubuna ait olduğu, bunun ise önceki yıla göre üç kat artış ifade ettiği vurgulanıyor. Çoğunlukla halk, polis, teknoloji firmaları veya IWF analistlerinin kendileri tarafından bildirilen istismar içerikleri, doğrulukları teyit edildikten sonra, o içeriğin yayımlandığı ülkenin yetkilileri ile irtibata geçiliyor.
IWF’ye göre, kendi cinsel istismarlarını kaydetme bakımından 148 bin vaka ile 11-13 yaş grubundaki çocuklar en büyük kümeyi oluşturuyor.
Stalker (Gözetleme) yazılımı şirketi elindeki ekran görüntülerini yanlışlıkla sızdırdı.
PcTattleTale, cihaz kullanıcısı tarafından algılanamayan “çalışan ve çocuk izleme yazılımı” geliştiren bir şirket. Bu yazılım esas olarak çocuklarının çevrimiçi dünyasını gözetlemek isteyen ebeveynler düşünülerek geliştirilmiş olsa da eşleri ve iş ortaklarını gözetlemek için de kullanılabiliyor.
Yazılım, müşterilerinin belirli bir URL’yi ziyaret ederek izledikleri kişilerin telefonlarının gerçek zamanlı ekran görüntülerini görüntülemesini sağlıyor. Dolayısıyla yazılım için stalker yazılımı demek hiç de yanlış olmuyor. Şirketin web sitesinde yer alan şu ifadeler yazılımın gerçekten de bir stalker türü yazılım olduğunu ortaya koyuyor: “PcTattletale, Kullanıcının tıkladığı her bağlantı ve girdiği her web sitesinin Youtube türü videosunu yapan tek çözümdür. Kullanıcılar gizli çevrimiçi yaşamlarını sürerken, siz de PcTattletale hesabınızı kullanarak telefonunuzdan veya bilgisayarınızdan tüm bu kayıtları izleyin.” İşte söz konusu şirket kayıt altına aldığı ekran görüntülerini yanlışlıkla çevrimiçi ortamda sızdırdı. Bu, PcTattleTale yazılımı kullanılarak kayıt altına alınan görüntülerin çevrimiçi olarak yayınlandığı anlamına geliyor.
HATA, DENEME SÜRÜMÜNDEKİ ZAFİYETTEN KAYNAKLANIYOR
PcTattleTale’nin deneme sürümünü kullanırken sorunu keşfeden güvenlik araştırmacısı Jo Coscia’ya göre, şirket ekran görüntülerini güvenli olmayan bir AWS bucket’a (Amazon Basit Depolama Hizmeti) yüklüyor. Bu durum, kullanıcı adı ve parola gibi herhangi bir kimlik doğrulama gerektirmediği için, bucket’ın içindeki bilgilerin görülebileceği anlamına geliyor. Motherboard.com ise, isteyen herkesin bu ekran görüntülerine nasıl erişebileceğini ayrıntılı olarak açıkladı: TattleTale tarafından alınan görüntülerin URL’si, sıralı olarak oluşturulmuş gibi görünen virüslü cihaza (tarih ve zaman damgası) pcTattleTale tarafından verilen bir kod olan cihaz kimliğiyle oluşturulur. Teorik olarak saldırgan, diğer virüslü cihazlar tarafından yüklenen görüntüleri bulmak için farklı URL kombinasyonları aracılığıyla hesap yapabilir.
Bu, temel olarak, yeni aygıtların ve bunlarla bağlantılı görüntülerin keşfedilmeye zorlanması demektir. Kimlik doğrulamasının olmaması, bir tehdit aktörü veya basit bir komut dosyası yazabilen herkesin AWS buckettan tüm görüntüleri olmasa da en çoğunu elde edebilmesini mümkün kılar. Coscia, PcTattleTale’in tanıtım e-postalarında şirketin deneme süresi sona erdikten sonra kullanıcıların verilerini sileceğini söylediğine dikkat çekiyor. Ancak, Coscia’nın yazılımının deneme süresi sona erdikten sonra aldığı ekran görüntülerinin hala erişilebilir olduğu gözlendi.
Android kötü amaçlı yazılım araştırmacısı Lukas Stefanko’ya göre, hesaplarını silmiş olan PcTattleTale müşterileri, uygulamalarının kurbanlarının telefonlarından aldığı ekran görüntülerine erişmeye devam edebiliyor.
STALKER PİYASASI BÜYÜYOR
PcTattleTale’in sahibi Bryan Fleming, verilerin silindiğini iddia ediyor. Fleming, Motherboard’a yaptığı açıklamada şunları söyledi: “Evet, veriler siliniyor ancak bir süre daha kalmasını sağlıyoruz. Birçok kişi cihazlarını yanlışlıkla silerek deneme süresinin dolmasına yol açıyor ve tabi ki de ekran görüntülerini geri almak istiyorlar.”
PcTattleTale, potansiyel kullanıcılara yazılımlarını kullanarak bir kişinin gizliliğini ihlal edeceklerini açıkça söyleyen şirketlerden biri. Ve bu işin piyasası büyümeye devam ediyor.
MNG Kargo, Kişisel Verileri Koruma Kurumu’na (KVKK) yaptığı bildirimde, müşterilere ait kişisel verilerin sızdırıldığını kabul etti.
Sızdırılan veriler arasında ad, soyad, adres, telefon numarası bilgileri yer alıyor.
MNG Kargo’nun KVKK’ya yaptığı bildirimde,
“İhlalin veri sorumlusunun kurumsal müşterilere sunduğu web servis üzerinden, kurumsal müşteriye/müşterilere ait kullanıcı adı ve şifrenin elde edilmesinden kaynaklı olarak, kurumsal müşterinin/müşterilerin hesaplarına yetkisiz erişim gerçekleştiren kişi/kişiler üzerinden sızma şeklinde olduğunun ve sistemden kaynaklı bir açık olmadığının düşünüldüğü,
İhlalin 15.08.2021 tarihinde başladığı ve 23.08.2021 tarihinde sona erdiği,
15.08.2021 tarihinde veri sorumlusunun kurumsal bir müşterisinden gelen sözlü bildirim sonucunda aynı gün içerisinde sızma testi çalışmasına başlandığı, yapılan incelemeler sonucunda 23.08.2021 tarihinde ihlalin tespit edildiği,
İhlalden kargo alıcılarına ait “ad-soyad, adres, telefon numarası” bilgilerinin etkilendiği,
İhlalden etkilenen kişi sayısının belirlenemediği,
İlgili kişilerin veri ihlali ile ilgili https://www.mngkargo.com.tr/iletisim internet sayfası, 0(850) 222 06 06 numaralı çağrı merkezi ve kisiselveri@mngkargo.com.tr e-posta adresinden bilgi alabileceği ifade edildi.
