En epik 10 Facebook faciası

Kullanıcılarının güvenliğini ve gizliliğini tehdit eden 10 Facebook hatası

Geçtiğimiz Mayıs ayında Mark Zuckerberg 35. doğum gününü kutladı. Kendisini tebrik ediyoruz! Ne var ki Zuckerberg, bu noktaya sessiz sedasız gelmedi. Tam tersine, manşetler Facebook’la ilgili skandallarla dolu olduğu sırada kendisini kullanıcıların gizli verilerini yanlış yönetmekten kişisel olarak sorumlu tutabilmenin yollarını arayan bir federal soruşturma geçirdi. Bu yazıda veri suistimali de dahil Facebook’un en önemli 10 faciasını derledik.

1. Cambridge Analytica: Her şeyin başlangıcı

Her şey, Cambridge Analytica skandalıyla başladı. Facebook’ta paylaştığımız verilerin ve görüşlerin, rızamız olmaksızın üçüncü kişilerce kullanılabildiğini ilk defa 2018’in başlarında kesin olarak öğrendik. Cambridge Analytica’nın 50 milyon Facebook kullanıcısına ait verileri toplaması ve bu verileri siyasi reklamlar için kullanması dünyayı sarstı, fakat bu yalnızca başlangıçtı. Bu olayları yeniden incelemek isterseniz bu yazıyı okuyabilirsiniz.

2. Facebook tokenları çalındı

6 ay sonra, Facebook bir başka skandalla sarsıldı: Korsanlar, Facebook’taki çeşitli zayıf noktaları kullanarak milyonlarca Facebook kullanıcısının erişim tokenlarını (bunları insanların oturumda kalmasını sağlayan dijital anahtarlar olarak düşünebiliriz) çaldı.

Toplamda 30 milyon kullanıcının tokenları çalındı. Suçlular, 15 milyonunun isimlerine ve kişisel verilerine erişti. 14 milyon vakada saldırganlar, daha detaylı bilgileri ve kullanıcıların Facebook aktivitelerini görüntüleyebildi. Geri kalan 1 milyon kullanıcının verilerine ise ulaşamadılar. Facebook kullanıcıları, Facebook güvenliğinin aşılamaz olmadığını ve kendileri yanlış bir şey yapmasa bile hesaplarının kitlesel halde çalınabileceğini bu olayla öğrendi.

3. Facebook ve Instagram şifreleri ifşa oldu

30 milyon yetmezmiş gibi, yüz milyonlarca Facebook ve Instagram kullanıcısını ilgilendiren başka bir olay daha gerçekleşti. 2019’un başlarında Facebook, kullanıcı verileri güvenliğiyle ilgili iç süreçlerinin idealden çok uzak olduğunu fark etmemizi sağladı. Şirket, Facebook ve Instagram hesaplarına ait şifrelerin bir kısmını düz metin halinde depoladığını kabul etti. Bu şifrelerin yalnızca çalışanlar tarafından görülebildiği ve kimsenin erişim iznini kötüye kullanmadığı konusunda ısrar ettiler.

Bu noktada tam olarak kaç kişinin etkilendiğine dair bir açıklama yapılmadı. Şirket ilk başta sorunun milyonlarca Facebook Lite kullanıcısını, on milyonlarca normal Facebook kullanıcısını ve on binlerce Instagram kullanıcısını ilgilendirdiğini söyledi. Bir ay sonra ise bu açıklamaya düzeltme getirerek (artık yamanmış olan) sorunun on binlerce değil, milyonlarca Instagram kullanıcısını etkilediğini açıkladı.

4. Instagram şifreleri tekrar ifşa oldu

Esasında Instagram kullanıcıları, şifrelerinin sızmış olabileceğini ilk defa duymuyorlardı. Birkaç ay önce, Instagram’daki “Verilerinizi İndirin” özelliğinin bazı Instagram şifrelerini yanlışlıkla ifşa edebilecek (artık yamanmış) bir güvenlik kusuru barındırdığı keşfedilmişti. Kullanıcı, özelliği kullanmak için oturum açma bilgilerini girdiğinde şifre, Web tarayıcılarındaki URL’e dahil ediliyor ve Facebook’un sunucularında yine düz metin halinde saklanıyordu.

5. Facebook, e-posta şifrelerini isteyerek kişilere erişti

Facebook, rızaları olmaksızın 1,5 milyon kullanıcının e-posta kişilerine erişti. Aslında durum bundan biraz daha karmaşık. Hikaye şöyle: Facebook, bir kısım kullanıcıdan e-posta hesaplarının şifresini vererek kimliklerini doğrulamasını istedi. Haber duyulduğunda pek çok kişi bunun 1 Nisan şakası olduğunu sandı; İnternette gezinmeyi bilen herkes için üçüncü kişilerin e-posta iletişimlerine erişmesine izin vermek hayal dahi edilemezdi. Ne yazık ki bu bir şaka filan değildi. Üstelik pek çok kişi bu tuzağa düştü.

Facebook, ısrarla kullanıcıların e-posta içeriklerine erişmediğini, yalnızca (istemeden) e-posta kişilerine eriştiğini iddia etti. Toplamda 1,5 milyon kullanıcının adres defteri toplanmıştı. Fakat insanların kişi listelerinde yüzlerce ismin olabileceği düşünüldüğünde, iletişim bilgileri ele geçirilen kişi sayısı on milyonları bulabilir. Şirket, verileri reklam hedeflemeyi geliştirmek, Facebook’un sosyal bağlantı ağını inşa etmek ve kullanıcılara yeni arkadaşlar önermek için kullandığını söyledi.

6. 2 aşamalı doğrulama, Facebook’ta reklam verenler için bir araç

Elbette hepimiz hesaplarımızı güvende tutmak isteriz ve iki aşamalı doğrulama, bunu yapmanın ideal yolu gibi görünür. Fakat burada bile potansiyel sorunlar ortaya çıkabilir. Örneğin, Facebook hesabınızda iki aşamalı doğrulamayı etkinleştirmek için verdiğiniz telefon numarası, başka bir seçenek sunulmaksızın otomatik olarak profilinizle ilişkilendirilir. Bunun sonucunda, bir hesabı olmasa bile herkes, bu telefon numarasıyla profilinizi arayabilir. Üstelik: Facebook, numaranızı reklamların hedefine de alabilir.

7. Reklam vericiler sözkonusu olduğunda kişileriniz asla güvende değil

Yukarıda değindiğimiz gibi, Facebook ve Instagram, reklam vericiler için Facebook’ta bile olmayan iletişim bilgilerine erişim sağlıyordu! Diğer bir deyişle, reklam vericiler yalnızca “iletişim ve temel bilgiler” sayfamızda belirttiğimiz e-posta adresleri ve telefon numaralarını değil, aynı zamanda başka verileri de baz alarak bizi hedefliyordu (ve büyük olasılıkla hala da bu şekilde hedefliyorlar).

Bu verilerin içinde (varsa) 2 aşamalı doğrulama için girdiğiniz telefon numarası da olabilir, indirimler veya gizli çevrimiçi alışverişler için verdiğiniz istenmeyen e-posta adresleri de… Ayrıca, kişilerinizden biri, “arkadaş bulmak” için kendi kişilerini Facebook’la paylaşmayı (“senkronize etmeyi”) tercih ederse ya da kendi adres defterlerini Facebook’a yüklerse ve listelerinde size ait bir telefon numarası varsa, bu bilgiyi siz Facebook’a hiç girmemiş olsanız bile reklam vericiler bu telefon numarasını kullanarak reklam için sizi hedefleyebilir.

8. Reklam vericilerle daha da fazla Facebook verisi paylaşıldı

Sızdırılan iç belgeler, Facebook’un ortaklık kurduğu şirketlere üstünlük sağlayabilmek için kullanıcı verilerini gözetlediğini ortaya koydu. Örneğin, Facebook reklamlarına ciddi miktarda yatırım yapan Amazon.com, arkadaşları aracılığıyla kullanıcıların isimlerini ve e-posta adreslerini elde edebiliyordu (tıpkı Sony, Microsoft ve daha birçok şirket gibi).

Microsoft’un Bing arama motoru, bizim (veya onların) rızası olmaksızın bütün Facebook arkadaşlarımızın ismini görebiliyordu. Netflix’e, Spotify’a ve Kanada Kraliyet Bankası’na özel mesajlarımızı okuma, yazma ve silmenin yanı sıra bir mesaj dizisindeki tüm katılımcıları görebilme ayrıcalığı sağlanmıştı. Apple cihazlar, hesap ayarlarını tüm paylaşımı engelleyecek şekilde değiştirmiş kişilerin bile kişilerine ve takvim girdilerine erişebiliyordu.

İlgili şirketler, eriştikleri verileri asla suistimal etmediklerini beyan etti; hatta bir kısmı, böyle “genişletilmiş” haklara sahip olduklarını bile bilmediklerini söyledi.

9. Facebook Pazar Yeri, satıcıların konumunu sızdırdı

Facebook’un dijital pazar yerindeki (artık yamanmış olan) bir kusur, satıcıların ve dolayısıyla ürünlerinin konumunu (en ince enlem ve boylam koordinatlarına kadar) ifşa ediyordu. Konumu görmek için Facebook’a giriş yapmak bile gerekmemesi, bazı araştırmacıların hizmete “hırsızlar için alışveriş listesi” demesine sebep oldu. Özellikle pahalı bisikletler satanlar için durum daha da endişe vericiydi, çünkü bunlar suçlular için lezzetli lokmalardı ve Pazar Yeri, satıcıların konumunu ifşa ederek bu bisikletleri adeta bedava dağıtıyordu.

10. Facebook verileri ifşa edildi; hem de üçüncü kişiler tarafından!

Facebook kullanıcılarının bilgilerini içeren iki veri tabanı, açık ağda, verileri herkesin erişebileceği ve indirebileceği şekilde düz metin olarak depolar halde bulundu. Bir grup veri, uzun süre önce kullanım dışı olan “Havuzda” adlı bir oyun uygulamasından geliyordu. 540 milyondan fazla kayıt içeren ikinci grup ise Latin Amerika’da faaliyet gösteren Meksikalı medya şirketi Cultura Colectiva’ya aitti. İfşa olan her iki veri tabanı da kullanıcıların isimlerinin ve e-posta adreslerinin, arkadaş listelerinin, beğenilerinin ve yorumlarının yanı sıra tercihleri ve ilgi alanlarını analiz etmek için kullanılabilecek her türlü ayrıntıyı içeriyordu.

Bilgiler özellikle hassas olmadığı ve Facebook çalışanlarının ifşayla bir ilgisi olmadığı halde bu durum, yine de (tekrar) Facebook’un kullanıcı verilerini üçüncü kişilerle nasıl paylaştığına dair soruları ve bu yazıyı başlatan Cambridge Analytica skandalını akıllara getirdi.

Bu yazıyı okuduktan sonra Facebook’un saçmalıklarından bıktığınızı hissediyorsanız blogumuzda Facebook hesabınızı nasıl sileceğinize dair bilgiler bulabilirsiniz. Elbette karar tamamen size kalmış.

İpuçları

Ekstra güvenlik katmanı olarak VLAN

Şirket dışından gelen çok sayıda e-postayla ilgilenmek zorunda olan çalışanlar, kötü amaçlı istenmeyen postaların saldırısına uğrama riski taşırlar. Bu yazımızda, bulaşma ihtimaline karşı şirket sistemlerinizi nasıl koruyabileceğinizi açıklıyoruz.