Kendinizi doxing’ten nasıl korursunuz?

Günümüzde, herhangi bir internet kullanıcısına ait kişisel bilgilerle bir dosya oluşturmak düşündüğünüzden çok daha kolaydır. Gelin kişisel bilgilerinize ulaşmaya çalışanların (doxers) kim olduklarını ve kullandığı yöntemleri öğrenelim.

Sosyal ağda bir şey beğendiğinizde, komşularınızın olduğu bir gruba katıldığınızda, özgeçmişinizi birisi ile paylaştığınızda veya sokak kamerasındaki bir görüntüde yer aldığınızda, tüm bu eylemlerinize ilişkin bilgiler veri tabanlarında toplanır. İnternetteki bütün eylemleriniz, gerçek dünyada ise neredeyse attığınız her adıma ait ardınızda bıraktığınız bu izlerin sizi ne kadar savunmasız hale getirdiğini hayal edemezsiniz.

Yanlış bisikletçi, yanlış sürücü, yanlış baba

Bahsedeceğimiz üç kısa hikayenin de gösterdiği gibi doxing (internette yer alan kişisel bilgilerin kötü amaçlar için toplanması) herkesin başına gelebilecek bir şeydir.

Maryland’li bisikletçi Peter Weinberg, yabancılardan aşağılayıcı mesajlar ve tehditler almaya başladığında, antrenman için kullandığı uygulamanın bisikletiyle gezdiği rotaları halka açık şekilde paylaştığını ve birisinin bu rotaları, Weinberg’in kısa süre önce yakınından geçtiği bir yerde gerçekleştirilen bir çocuğa yönelik saldırı suçunun sorumlusunu bulmak için kullandığını öğrendi. İnsanlar hızla — ve yanlış bir şekilde — şüphelinin Weinberg olduğunu belirledi, adresini buldu ve paylaştı. Çok bilindik bir şekilde, sonrasında yapılan yanlışı düzeltmek için atılan tweetler ve yapılan diğer açıklamalar, ilk yayılan bilgiden çok daha az paylaşıldı.

Dünyanın diğer ucunda, Singapurlu bir hayvan hakları aktivisti yaptığı paylaşımda takipçilerine “ona gününü gösterin!” çağrısında bulunarak, arabasıyla köpeğe çarpan bir kişinin adını ve adresini paylaştı. Otomobilin sahibinin aktardığına göre, kamuya açık şekilde yapılan bu suçlamalar kariyerine zarar verdi: İntikam almak isteyenler onun nerede çalıştığını öğrendikten sonra, çalıştığı şirketin Facebook sayfasına nefret dolu mesajlar yazmaya başladılar. Ancak gerçek şuydu ki kazanın olduğu sırada, arabayı başka biri kullanıyordu.

Hikayenin daha ünlü bir versiyonundaysa, kızı hakkında yazılmış uygunsuz ve saldırgan tweetleri gören eski bir profesyonel beyzbol oyuncusu Curt Schilling yer alıyordu. Schilling, tweetleri atanların izini sürdü (bunun yapmanın bir saatten az sürdüğünü söylüyordu), her biri için oldukça kapsamlı bir dosya hazırladı ve öğrendiği bazı bilgileri blogunda yayınladı. Beyzbol topluluğuyla bağlantısı olan suçlular bir gün içinde kovuldu veya oynadıkları takımlardan çıkarıldılar.

Peki yaşanan neydi?

Her üç hikaye de doxing konusuna basit birer örnektir. Doxing, birinin kimliğini ifşa eden verilerin sahibinin izni olmadan toplanması ve çevrimiçi olarak paylaşılması anlamına geliyor. Rahatsız edici bir durum olmasının yanı sıra kurbanın gerçek hayattaki itibarına, kariyerine ve hatta fiziksel güvenliğine de zarar verebiliyor.

Doxing’i gerçekleştiren kişiler (doxer’lar), bunu çok farklı amaçlarla yapıyorlar. Bazıları suçluları ifşa ettiklerine inanıyor; bazıları çevrimiçi rakiplerini sindirmeye çalışıyor; bazıları da tamamen kişisel sebeplerle ufak tefek şeylerin intikamını almak için bu işe bulaşıyor. Doxing kavramı 1990’larda ortaya çıktı, ancak o zamandan beri çok daha tehlikeli hale geldi. Bugün artık herkese açık olan özel bilgilerin hacmi düşünüldüğünde, doxing için özel bir beceri veya özel erişim hakkı sahibi olmaya gerek kalmadığı görülüyor.

Doxing’in yasal veya etik olup olmadığını tartışmak için burada değiliz. Güvenlik uzmanları olarak görevimiz, ana hatlarıyla doxer’ların kullandığı yöntemleri göstermek ve kendinizi korumanın yolları konusunda tavsiyelerde bulunmaktır.

Doxing: İçeriden bir gözle bakmak

Doxing için ne özel bir bilgi sahibi olmaya ne de çok fazla kaynağa gerek olmaması, onu oldukça sık karşılaşılan bir durum haline getirdi. Doxer’ların kullandığı araçlar da çoğunlukla yasal ve herkesin erişimine açıktır.

Arama motorları

Doxer’lar, bilindik arama motorları üzerinden pek çok kişisel bilgiye ulaşabilirler ve gelişmiş arama işlevlerini kullanmak (örneğin, belirli internet siteleri veya dosya türleri içinde arama yapmak) doğru bilgilere daha hızlı ulaşmaları konusunda onlara yardımcı olur.

Arama kriterlerinde kişinin adı ve soyadının yanında, takma adının (nickname) yer alması, kişinin çevrimiçi alışkanlıklarının ortaya çıkmasını sağlayabilir. Örneğin, sıklıkla yapılan bir şey olan farklı internet sitelerinde aynı takma adın kullanılması, herkese açık bilgi kaynaklarındaki yorumları ve gönderileri toplamak isteyen çevrimiçi dedektiflerin işlerini kolaylaştırır.

Sosyal ağlar

LinkedIn gibi bir konuda özelleşmiş ağlar da dahil olmak üzere sosyal ağlar çok sayıda kişisel veri içeriyor.

Gerçek bilgilerin yer aldığı herkese açık bir profil, kullanıma hazır bir dosya gibidir. Bunun yanında, bir profil gizli ve yalnızca arkadaşlara açık olsa bile, kendini işine adamış bir araştırmacı, kurbanın yorumlarını, üye olduğu grupları, arkadaşlarının paylaşımlarını vb. tarayarak ufak tefek bilgiye ulaşabilir. Buna bir de insan kaynakları çalışanı gibi davranan birinden gelen arkadaşlık isteğini eklediğinizde; bir sonraki seviye olan sosyal mühendislik aşamasına geçersiniz.

Sosyal mühendislik<

Birçok saldırın içinde kendine has bir yeri olan sosyal mühendislik, doxer’ların bilgi edinmesine yardımcı olmak için insan doğasından yararlanır. Bir doxer, bir konuya ilişkin halka açık şekilde paylaşılan bir bilgiyi başlangıç noktası olarak kullanarak, kurbanla iletişime geçebilir ve onu, bilgilerini paylaşması konusunda ikna edebilir. Örneğin doxer, doktor olan bir kurbandan bilgi almaya çalışmak için sağlık yöneticisi veya banka temsilcisi gibi davranabilir — bu yöntem, içine birkaç tutam gerçeklik de serpilmesi halinde çok daha iyi iş yapacaktır.

Resmi kaynaklar

Kişisel bilgilerinin anonim kalması konusunda en çok zorlananlar genelde halkın gözü önünde olan kişilerdir. Ancak buradan, kişisel bilgilerini korumaya ihtiyaç duyanların sadece rock yıldızları ve profesyonel sporcular olduğu gibi bir anlam çıkarılmamalı.

Bir doxer, potansiyel bir doxing kurbanının bir işverene duyduğu güveni de kötüye kullanabilir. Bunun için, kurumsal bir şirketin Hakkımızda sayfasındaki yer alan işverenin tam adı ve fotoğrafı veya bir departmana ait sayfada yer alan iletişim bilgileri gibi şeylerden yararlanır. Bu durum masum gibi görünebilir, ancak genel şirket bilgileri konum olarak sizi bir kişiye yaklaştırırken, fotoğraf da sizi, bu kişinin sosyal ağ profiline ulaşmanızı sağlayabilir.

Birçok ülkede, şirket kurucularına ilişkin çok fazla bilginin halka açık şekilde paylaşılması gibi iş faaliyetleri ile ilgili paylaşımlar da internette iz bırakır.

Kara borsa

Daha karmaşık doxing yöntemlerindeyse, devlet kurumlarına ve işletmelere ait güvenliği ihlal edilmiş veritabanları gibi halka açık olmayan kaynakların kullanımını söz konusudur.

Yaptığımız çalışmalar da gösteriyor ki; 6 dolar ve üzerinde bir fiyata satılan taranmış pasaport kopyalarından 50 dolar ve üzerinde bir fiyata satılan internet bankacılığı hesaplarına kadar her türlü kişisel veri, darknet’te satılıyor.

Profesyonel veri toplayıcılar

Doxer’lar çalışmalarının bir kısmını, dış kaynak kullanımı şeklinde <em>veri aracılarına</em> (data brokers – çeşitli kaynaklardan toplanan kişisel verileri satan şirketler) devrederler. Veri aracılığı, özel bir suç örgütü değildir; bankalar, reklamcılar ve insan kaynakları şirketleri de bu aracılardan edindikleri verileri kullanıyorlar. Ne yazık ki, tüm veri aracıları verileri kimin satın aldığı konusuna özen göstermiyor.

Verileriniz sızdırıldıysa ne yapmalısınız?

Electronic Frontier Foundation’ın siber güvenlik direktörü Eva Galperin, Wired ile yaptığı bir röportajda, kişisel bilgilerinizin kötüye kullanıldığını öğrenmeniz halinde, doxer’ların verilerinizi paylaştığı tüm sosyal ağlarla iletişime geçmenizi öneriyor. Bu durumda önce müşteri hizmetleri veya teknik destek ile iletişime geçin. Sahibinin izni olmadan özel bilgilerin ifşa edilmesi normalde kullanıcı sözleşmesinin ihlali anlamına gelir. Bunu yapmak sorunu tamamen ortadan kaldırmasa da doğacak olası hasarı azaltacaktır.

Galperin ayrıca, gerçekleştirilen bir saldırıdan sonra, bir süre sosyal ağlardaki hesaplarınızı kapatmanızı veya onları yönetecek birini bulmanızı öneriyor. Yaşanan ihlal sonrasında alınacak diğer önlemlerde olduğu gibi bunu yapmak, ortaya çıkan zararı telafi etmez ancak canınızın daha fazla sıkılmasını önleyebilir ve belki de bir daha benzer şekilde zor durumda kalmamanıza yardımcı olur.

Kendinizi doxing’ten koruma yolları

Veri sızıntısı yaşanması olasılığını düşürmek, neden olacağı sonuçlarla uğraşmaktan kesinlikle daha iyidir. Ancak bunu yapmak öyle kolay değildir. Örneğin, bir devlet kurumu veya sosyal ağa ait veri tabanlarından gerçekleşen sızıntıların ya da veri dökümlerinin önlenmesi konusunda elinizden hiçbir şey gelmez. Yapabileceğiniz tek şey doxer’ların işlerini zorlaştırmaktır.

Sırlarınızı internette ifşa etmeyin

Kişisel verilerinizi — özellikle adresiniz, telefon numaranız ve özel fotoğraflarınız — mümkün olduğu kadar internetten uzak tutun. Gönderdiğiniz fotoğrafların hiçbir konum etiketi içermediğinden ve aynı şekilde paylaştığınız belgelerde hiçbir özel bilgi bulunmadığından emin olun.

Sosyal ağ hesap ayarlarınızı kontrol edin

Kullandığınız sosyal ağlar ve hizmetlerdeki gizlilik ayarları seçimlerinizde katı olmanızı, profilinizi yalnızca arkadaşlarınıza açık olacak şekilde ayarlamanızı ve arkadaş listenizi düzenli olarak takip etmenizi öneriyoruz. Sosyal ağlar ve diğer hizmetlerdeki profilinizi düzenlerken Privacy Checker portalımızdaki aşama aşama anlatılan talimatlardan faydalanabilirsiniz.

Hesaplarınızı hackerlara karşı koruyun

Her hesap için farklı parola kullanmak can sıkıcı olabilir (olması gerekmese de), ancak bu önemli bir koruma yöntemidir. Her yerde aynı şifreyi kullanırsanız, kullandığınız hizmetlerden birinin şifrenizi sızdırması halinde, en katı gizlilik ayarlarını bile uygulasanız, bunun size bir faydası olmaz.

Bu konuyla ilgili olarak bir parola yöneticisi kullanmanızı öneriyoruz. Kaspersky Password Manager çözümümüz, yalnızca parolaları değil, aynı zamanda parolaları kullandığınız internet sitelerini ve hizmetleri de kaydeder, böylece parolalarınıza ulaşmak için yalnızca ana anahtarı aklınızda tutmanız yeterlidir. Savunmanızı daha fazla güçlendirmek için mümkün olan her yerde iki faktörlü kimlik doğrulamayı kullanmanızı da öneriyoruz.

Üçüncü taraf hesaplarla ilgili akıllı bir şekilde hareket edin

Mümkünse, kayıt için sosyal ağ hesaplarınız veya gerçek bilgilerinizi içeren diğer hesaplarınızı kullanan internet sitelerine kaydolmaktan kaçının. Örneğin yorumlarınızı kendi adınızla ilişkilendirmek gibi bir hesabı diğeriyle ilişkilendirmek, çevrimiçi etkinliklerinizin izlenmesini kolaylaştırır.

Bu sorunu çözmek adına, en az iki e-posta hesabınız olsun; birini gerçek adınızla kullandığınız hesaplarınız için, diğerini ise anonim kalmayı tercih ettiğiniz internet siteleri için kullanın. İnternetteki varlığınız hakkında bilgi toplamayı zorlaştırmak için farklı kaynaklar için farklı takma adlar kullanın.

Kendinize ait bilgilerle bir dosya oluşturmayı deneyin

Gizlilik durumunuzu öğrenmenin bir yolu da, tıpkı bir doxer gibi davranarak kendiniz hakkında bilgi toplamak için internette arama yapmaktır. Bu şekilde, sosyal ağlardaki hesaplarınıza ilişkin sorunları fark edebilir ve hangi kişisel verilerinizin internette dolaştığını öğrenebilirsiniz. Eriştiğiniz bilgiler, bu tür verilerin kaynağını bulmanıza ve hatta büyük olasılıkla bu verilerin silinmesini nasıl sağlayacağınızı da bulmanıza yardımcı olabilir. Bunun takibini pasif olarak yapmak için, adınızla ilgili arama sonuçlarında yeni sonuçların yer alması halinde Google‘ın bunları size otomatik olarak bildirmesini sağlayabilirsiniz.

Kendinizle ilgili bilgileri silin

Gizliliğinizi ihlal eden herhangi bir içeriği bildirebilir, arama motorlarından ve sosyal ağlardan verilerinizin silinmesini talep edebilirsiniz (örneğin, Google, Facebook ve Twitter için izlenecek yol burada belirtilmiştir).

Sosyal ağlar ve diğer hizmetler, genellikle kullanım politikaları gereği kişisel verilerin yetkisiz olarak yayınlanmasına izin vermez, ancak gerçekte, böyle bir şüpheli kaynak olması halinde bu sorun yalnızca kanun uygulayıcı makamlar tarafından çözülebilir.

Yasal veri aracıları (data brokers) normalde bireylerin kişisel bilgilerini silmesine imkan sağlar. Ancak çok fazla bu türde şirket olması nedeniyle, tüm aracılardaki verilerinizin kaldırılmasını sağlamak zordur. Bununla birlikte, aynı zamanda, internetteki dijital izlerinizi silmeye yardımcı olabilecek ajanslar ve hizmetler de bulunuyor. Size uygun olan kolaylık, titizlik ve maliyet dengesini sunanı bulmanız yeterli.

Kısa ipuçları

Kişi, herhangi bir zamanda, açık bir neden olsun ya da olmasın, doxing’in hedefi olabilir. Vereceğimiz bu ipuçları, çevrimiçi gizliliğinizi korumanıza yardımcı olur:

  • Kişisel verilerinizi — gerçek adınız, adresiniz, iş yeriniz vb. — internetten uzakta tutun;
  • Sosyal ağ hesaplarınızı yabancıların erişimine kapatın ve güçlü, benzersiz parolalar ve iki faktörlü kimlik doğrulama kullanın. Parolalarınızı yönetmek için Kaspersky Password Manager kurun;
  • Başka bir hizmette kullandığınız hesabı —özellikle bu hesaplardan biri gerçek verilerinizi içeriyorsa — diğer bir hizmette oturum açmak için kullanmaktan kaçının;
  • Proaktif olun: İnternette yer alan bilgilerinizle bir dosya oluşturmayı deneyin ve hakkınızda çok fazla bilgiye sahip bir hizmetten verilerinizi silmesini talep edin;
  • Hesaplarınızı tamamen silme konusunu değerlendirin. Bunu yapmak (yenilgiyi kabul etmiş gibi olsa da) doxing’i engellemek için radikal bir yöntemdir ve önemli verileri korurken bunu doğru şekilde yapmanız konusunda size yardımcı olabiliriz.

Doxing, her yerde bulunan çevrimiçi verilerin özel hayatlarımızı ihlal etmesi durumudur, ancak bu ihlal basit bir şey değil; hayatları mahvetme potansiyeline sahip büyük bir sorundur. Düzenli şekilde doxing ve nasıl güvende olacağınız konusunda haberler ve pratik bilgilerin yer aldığı gönderiler paylaşıyoruz.

İpuçları