dropbox
Haftanın başlarında iş arkadaşımız Chris, Threatpost’ta Dropbox’ın 2012’den beri parolalarını değiştirmemiş kullanıcıları parola değiştirmeye zorlaması konusunda bir yazı kaleme aldı. Dropbox da bu hareket için ”tamamen engelleyici bir tedbir” dedi.
2012’de, Dropbox servisi kullanan kullanıcılar için spam ve baş ağrısına sebep olan güvenlik açığının kurbanı oldu. Dört yıl sonra, bu güvenlik açığının bilinmeyen tarafları Dropbox kullanıcı kimlikleri çalındıktan sonra ortaya çıktı. Geçtiğimiz gece, Motherboard sitesinin yayınladığı bildiriye göre veritabanlarından çalınan bilgilerin ticari amaçlı satılması olayı gerçek, 68 milyondan fazla Dropbox verisi çalındı.
Motherboard gönderide Dropbox’a giriş yapan herhangi zararlı bir hesaba dair ipucu bulunamadığını belirtti. 68 milyondan fazla hesabın, tahminen 32 milyonu bcrypt ile; geri kalanı SHA-1 ile korunuyor.
Bu ne anlama geliyor?
Motherboard’ın raporuna göre, Dropbox’daki veriler şu an karanlık internette değil, büyük ihtimalle parola koruması yeteri kadar güvenlik sağlıyor, bu sebeple suçlular için bu verilerin değeri azalıyor. Durum hakkındaki gelişmeler sürüyor, size bu konuyu yakından takip edebilmeniz için Treatpost’u takip etmenizi öneririm; herhangi bir yenilik olması durumunda hızlıca güncelleme yapılarak paylaşılacaktır.
Siz ne yapabilirsiniz?
Olaya dışarıdan baktığımız zaman, bu olan veri sızıntısı gittikçe büyüyen mega sitelerin başına gelen kötü olaylar listesine eklenecek diğer bir madde oldu. Dropbox da LinkedIn, Myspace, Tumblr, OKCupid, Spotify (2 Defa) ve diğerlerinin arasına eklenmiş oldu. Suçlular hesaplar içerisinde değerli şeyler bulabilir, ve biliyoruz ki hackerlar hack yapmaya devam edecekler. Bizler dijital dünyanın vatandaşları olarak dijital hayatlarımızı koruma konusunda akıllı olmalıyız. Herhangi bir büyük veri sızıntısına karşı, sürekli önerdiğimiz 5 tane temel online güvenlik ipucumuz var:
1. Güçlü bir parola oluşturun ve sıklıkla parolalarınızı değiştirin. Hepimiz şu konuda aynı fikirde miyiz, aynı parolayı 4 yıl kullanmak iyi bir fikir değil, değil mi? Bunun da ötesinde, parolanız hem güçlü olmalı hem de hatırlanması kolay olmalı (güçlü parola oluşturma konusunda yardım için, parola kontrol aracımızı deneyin).
Also, for tips on creating secure but memorable passwords, please see http://t.co/Q6qWwHUF9v #carphonewarehouse #Kaspersky #securepasswords
— David Emm (@emm_david) August 10, 2015
Aynı zamanda önemli sitelerdeki parolalarınızı düzenli olarak değiştirmek de önemlidir. Online bankacılık, Facebook, LinkedIn ve şahsi mailinizi düşünün. Eğer hepsi için parola oluşturmak, değiştirmek ve aklınızda tutmak zor geliyorsa, parolalar için geliştirdiğimiz Kaspersky Password Manager‘i deneyebilirsiniz.
2. Eski hesaplarınızı silin. Mayıs’ta MySpace raporumuzda kendi içimizdeki yazışmalarda genel olarak ”Bir saniye, gerçekten insanlar hala MySpace kullanıyor mu?” diye sorular soruldu. Hayır, pek kullanan kalmadı ama hesapları hala duruyor. İnsanlar 2000’lerin başlarında hesap oluşturdu, daha sonra Twitter ve Facebook gibi inanılmaz parlayan siteler çıkınca eski hesaplarını unuttular.
Yapmanız gereken, eğer bir hesabı kullanmıyorsanız o hesaptan kurtulmaktır. Çünkü eğer o hesabı kullanmıyorsanız ve şifrelerinizi düzenli olarak değiştirmiyorsanız, kendinizi riske atıyorsunuz demektir.
3. Bu arada: Aynı parolaları kullanmayın. Yazının buraya kadar olan kısmında birkaç defa belirttiğimiz gibi, kendi ayrı maddesini hakeden bir konu. Aynı parolayı tekrar kullanmayın. Evet, eminiz ki sizin için çok daha kolaydır ama pepe tartışma platformuna üye olmak için kullandığınız parolanız çalınırsa, banka hesabınıza erişilebilir.
4. İki aşamalı onayı aktif edin. Birçok online servis kullanıcılara iki aşamalı onay imkanı sunuyor. Bu sistem hesaba girmeye çalışan kullanıcıları ya cep telefonu uygulaması ile ya da SMS yoluyla doğruluyor. (Not: Dropbox’ın da bu özelliği var.)
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky Lab (@kaspersky) June 9, 2014
5. Üçüncü parti izinlerine dikkat edin. Birçok online servis, mesela Facebook ve Dropbox, üçüncü parti servislere bağlanarak extra özellikler sunuyor, mesela arkadaşlarınızda oyun oynayabiliyor ya da yarışabiliyorsunuz. Bu üçüncü parti servisleri genellikle hayatlarımızı kolaylaştırıyor (Aynı zamanda ‘Facebook ile oturum aç’ gibi seçenekler de olduğu için, parola hatırlama zahmetine katlanmıyorsunuz). Ama olayın öteki boyutu ise, bu kolay kullanım konu güvenliğe geldiği zaman potansiyel tehdite dönüşüyor.
Servislere bağlanmadan önce tekrar düşünün. Gerçekten Facebook ile bağlanmanız gerekli mi – yoksa yeni bir hesap açmanız mı daha sağlıklı olur?
Son olarak, Dropbox olayı suçluların dijital kimliklere yaptığı saldırılar, gözlerimizi açmamız için iyi bir örnek. Herkese ısrarla yukarıda bulunan ipuçlarını düzenli olarak uygulamasını öneriyoruz. Evimizin kapısında nasıl kilit varsa ve güvenlik sistemlerinin önemini biliyorsak, dijital hayatımız için de aynı şekilde hassas olmalıyız.
