CNN, sosyal medya paylaşımlarının kişisel veri güvenliği için ne derece risk faktörü olduğunu göstermek için ilginç bir yola başvurdu. Bir hackerdan CNN’in teknoloji muhabirinin verilerini ele geçirmesi istendi, yaşananlar verileri hacklenen muhabirin bizzat kendisi tarafından kaleme alındı. Donie O’Sullivan başına gelenleri özetle şöyle anlattı:
“Ben tatilden instagram fotoları paylaşan tipik bir insanım. Aşırı pahalı mobilya satın almak hakkında da twitler atıyorum çünkü bu mobilyanın hayatımı nasıl da değiştireceğine dair yapılan reklamlara kanan bir yapım var. Kısacası düz biriyim. Konu şu ki sosyal medya gönderilerimin benim zavallı dikkat çekme ve beğeni alma ihtiyacımdan faydalanacağını düşünmezdim. Bütün inançlarım alt üst oldu, bu paylaşımlar bir hackerın elinde altın madenine dönüşebiliyormuş. Biri ‘ABD’nin batı sahillerindeki bir otelde instagramdan konum atmak’ diğeri ‘bir mobilya hakkındaki tweet atmak’ olmak üzere iki sosyal medya postumu kullanan bir hacker ev adresimi ve cep telefonu numaramı kolaylıkla ele geçirdi. Nasıl mı? Hem otel hem de mobilya şirketi kişisel bilgilerimi telefon üzerinden hackerların eline teslim etti. Sosyal medya ve e-posta hesaplarımıza online giriş yapmak zorlu bir süreç olabilir. Çoğunlukla bir şifre, telefonumuza gönderilen ikinci bir kod girmemiz istenir ve bazen de panik olmamıza sebep olacak ‘ilk kız arkadaşınızın adı nedir’ gibi kişisel soruların cevaplarını vermemiz istenebilir. Ancak gündelik hayatımızda saklı hala basit ve önemli zafiyetler bulunmakta. İyi bir hacker bir kaç basit araçla büyük kuruluşların müşteri destek temsilcilerini önemli sayıda kişisel bilgiyi elde etme noktasında kandırabilme yeteneğine sahip. Ben de bu hackerlardan birinden bana da aynı şeyi yapmasını istedim. Şunu söyleyeyim. Bunu yapmak onlar için rahatsız edici bir şekilde çok kolay, benim gibi teknolojiden haberdar olan biri için bile. Bu hepimize ders olmalı. Sosyal medyada paylaştıklarınıza ve bu bilgilerin sizin aleyhinizde nasıl kullanılabileceğine dikkat edin ve bir daha ki sefere havayolu şirketiniz, otel ya da banka ile telefonda görüşürken size soracakları güvenlik sorularının neler olması gerektiğine kafa yorun. Örneğin kimliğinizi doğrulamak için sadece doğum gününüzü ve e-posta adresinizi soruyorlarsa, onlardan sistemlerinde bulunan size dair kayda ilave güvenlik soruları koymalarını isteyebilirsiniz. Özel bir şifre gerektirmesi veya size bir doğrulama kodu göndermesi için hesabınıza not düşebilirler.
‘Paylaşıyorum o halde varım’
Ne yazık ki birçok şirket böyle bir opsiyona sahip değil, yine de sormaya değer. Başıma gelenler ise şu şekilde gerçekleşti. Las Vegas’ta Ağustos ayında düzenlenen dünyanın en büyük hacker konferansı DEF CON’da Rachel Tobac ile tanıştım. Tobac DEF Con topluluğunun meşhurlarından. Hackerların Vegas’taki yüzlerce izleyicinin önünde bir şirkete saldırdığı yarışmada üç yıldır kazananlar arasında. Üstelik bu saldırıyı bir telefon aracılığıyla yapmaktalar. Tobac ve diğer yarışmacılar dev kuruluşları arayarak çoğunlukla şirketlerin IT departmanlarında çalışmak istediklerini belirtiyorlar. Tobac coder değil ancak 10 yaşından beri doğaçlama yapıyor. Bu yeteneğinden faydalanarak ve sesinin erkek gibi çıkmasını sağlayan bir uygulama gibi diğer bazı hileleri de kullanarak telefonun diğer ucundaki kişinin kendisine kişisel bilgileri teslim etmesi noktasında ikna edebiliyor. Bu tür hacklemelere ‘Sosyal Mühendislik’ deniliyor. Tobac ‘Beyaz Şapkalı Hacker’ olarak bilinen ‘iyi’ hackerlardan. Güvenlik zaafiyetlerini keşfetmeleri için beyaz şapkalı hackerlara başvuran şirketlerle çalışan Tobac’tan beni de hacklemesini istedim. Sonuç olarak, Tobac şifrem olmadan ve e-posta hesabımı hacklemeden ev adresimi, telefon numaramı elde etmeyi başardı ve zor kazanılmış otel puanlarımı çaldı. Belki de en gaddarca hareket olarak 5 saat sürecek uçuşta koltuk numaramı değiştirerek oldukça ferah olan acil çıkış koltuğunu hemen arkasında tuvaletlerin olduğu orta koltuklardan biri ile değiştirdi.
‘Sesinizi istediğiniz kişinin sesine çeviren yazılımı kullandı’
Tobac tüm bunları benim hakkımda hangi havayolu şirketi ile uçtuğum ve hangi otelde konakladığımı gibi çevrimiçi ortamlarda bulduğu bazı bilgileri kullanarak yaptı. Daha sonra bu bilgileri kullanarak favori şirketlerimden bazılarını aradı. Bunu yaparken gerçekten benim telefonumdan aranmış gibi görülmesini sağlayan ve sesini erkek sesine çeviren bir yazılım kullandı. Kulağa oldukça komplike gibi görünse de bu endişe verici boyutta kolay bir iş. Ev adresimi öğrenmek için hakkında tweet attığım bir mobilya şirketini arayan Tobac, eşim olduğunu belirterek yeni bir sipariş vermeden önce şirketin kayıtlarında bulunan adreslerinin doğru adres olup olmadığını kontrol etmek istediğini ifade etti. Ardından bilerek yanlış bir adres söyledi ve telefonun diğer ucundaki kişi eşim sandığı bu kişiye benim tam adresimi vermiş oldu. Bu kadar basit. Tobac Instagram’dan daha önce konum attığım oteli arayarak telefonumu elde etme noktasında da oldukça usta davrandı.
Tobac’ın bu şekilde davranmasının sebebi şirketleri utandırmak istemesi değil. Aksine online ortamda başvurdukları kimlik doğrulama türünü telefonda da uygulamaya teşvik etmek. Tobac, büyük havayolu şirketleri ve otel zincirlerinin bunu yapmayarak çok büyük bir güvenlik açığı teşkil ettiklerini belirtiyor. Müşteri destek hattı personeli kimliğimi doğrulamak için doğum tarihimi sormasından ziyade Tobac şirketlere sistemlerindeki kayıtlı telefon numaralarına ya da e-posta adreslerine bir kod göndermelerini ve müşterilerinden telefonlarına gelen kodu okumalarını istemelerini öneriyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
İşte o anlar: