Şirket verilerinizi asil bir şekilde sızdırmanın 4 yolu

Hassas bilgileri istemeden kamuya açık alanlara sızdırmanın ne kadar da kolay olduğuna dair birkaç hikaye.

Eğer Instagram’da konser biletlerini barkodlarını gizlemeden paylaşırsanız, birileri sizin yerinize en sevdiğiniz grubu görebilir. Aynı şey barkodları gizlediğinizde de olabilir; ama bunu yanlış aracı kullanarak yaparsanız.

Bununla beraber, biletlerle böbürlenmeden önce barkodları düzgün bir şekilde gizlemek o kadar da zor değildir. İçerisinde bilet ya da, diyelim ki, üzerinde şifre yazılı yapışkanlı not kağıdı olduğunu fark etmediğiniz bir fotoğrafı paylaşmak ise bambaşka bir konudur. İşte size insanların çevrimiçi ortamda fark etmeden kişisel verilerini paylaşmalarına birkaç örnek…

1. Şifrenin önünde çekilmiş fotoğrafları paylaşmak

Ofislerde ve diğer çalışma mekanlarında çekilen fotoğraf ve videolar, şifreleri ve sırları düşünemeyeceğiniz ölçüde ortaya sererler. Çok az insan iş arkadaşlarının fotoğrafını çekerken arkada ne olduğuna dikkat eder; bu utanç verici, hatta tehlikeli sonuçlara yol açabilir.

Askeri zeka (yoksunluğu)

2012’de, İngiliz Kraliyet Hava Kuvvetleri baltayı fena halde taşa vurdu. O zamanlar Kraliyet Hava Kuvvetleri’nde görev yapan Prens William hakkındaki fotoğraflı bir haberle birlikte, MilFLIP (askeri uçuş haberleri yayını) kullanıcı giriş bilgileri ortaya saçıldı. Cambridge Dükü’nün arkasındaki duvarı süsleyen bir kağıt parçasında kullanıcı adı ve şifresi yer alıyordu.

Kraliyet ailesinin resmi internet sitesinde yayınlanmalarından kısa süre sonra, fotoğraflar rötuşlanmış halleriyle değiştirildi ve giriş bilgileri yenilendi. Yeniden duvara asılıp asılmadıkları ise bilinmiyor.

İç dekorasyon öğesi olarak MilFLIP kullanıcı giriş bilgileri. Kaynak.

 

Prens William olayı hiç de nadir rastlanan bir şey değil. Daha az tanınmış askeri personel de, gerek basının yardımıyla ya da yardımı olmadan, sırları çevrimiçi paylaşıyor. Örneğin, bir asker sosyal medyada gizli bilgileri gösteren çalışma ekranlarının önünde çekilmiş bir selfie yayınladı. Bu asker “yeniden terbiye edilmekten ve eğitimden” ucuz kurtuldu.

Canlı yayın sızıntısı

2015 yılında, Fransız televizyon şirketi TV5Monde siber saldırı kurbanı oldu. Kimliği belirsiz kişiler şirketin internet sitesine ve Facebook sayfasına sızıp yayının saatlerce kesilmesine sebep oldular.

Takip eden olaylar hikayeyi tam bir sulu komediye dönüştürdü. Bir TV5Monde çalışanı gazetecilere şirketin sosyal medya hesaplarının şifrelerinin önünde röportaj verdi. Görüntülerde metinler zar zor okunuyordu, fakat işin meraklıları TV5Monde’un YouTube hesabının şifresini ele geçirmeyi başardılar.

Şans eseri, bu olay aynı zamanda ‘şifre nasıl yaratılmamalı’ konulu bir ders oldu: Sorudaki gizli cümlenin Fransızca’da “youtubeşifresi” anlamına gelen “lemotdepassedeyoutube” olduğu ortaya çıktı. Neyse ki şirketin YouTube hesabı ve diğer hesapları zarar görmedi. Ancak, fondaki şifre hikayesi baştaki siber saldırı ile ilgili bir miktar düşünmeyi gerektiriyor.

TV5Monde çalışanı fondaki şifrelerin önünde röportaj veriyor. Kaynak.

 

Benzer bir olay, 2014 yılında, 48. Super Bowl’dan hemen önce, stadyumun dahili Wi-Fi giriş bilgileri bir TV kameramanının objektifine takıldığında yaşandı. Kazaya ironi katarcasına, kamera görüntüleri organizasyonun güvenliğinden sorumlu komuta merkezinden geldi.

Stadyum komuta merkezinin ekranlarından birinde görülen Wi-Fi giriş bilgileri. Kaynak.

 

2. Fitness takip cihazları kullanmak

Sağlığınızı izlemek için kullandığınız cihazlar, çok rahatlıkla bir başkasının sizi izlemesine ve hatta el hareketlerinizden kredi kartınızın PIN numarası gibi kişisel bilgilerinizi ele geçirmesine olanak sağlayabilir. Elbette, ikinci senaryo pek de gerçekçi değil.

Fakat gizli tesislerin lokasyonları ile ilgili veri sızıntıları ne yazık ki gerçek hayatta yaşanıyor. Örneğin, 10 milyondan fazla kullanıcı tabanına sahip Strava isimli fitness uygulaması, kullanıcıların koşu rotalarını herkese açık bir harita üzerinde paylaşıyor. Aynı zamanda askeri üsleri de gösteriyor.

Uygulama her ne kadar rotaları meraklı gözlerden gizlemeye ayarlanabilse de, tüm kullanıcıların bu tür özellikleri kullanmaya vakıf olduğu söylenemez.

ABD’nin Afganistan askeri üssündeki askerlerin hareketleri Strava ısı haritasında gösteriliyor. Kaynak.

 

2018 yılında Pentagon, yeni sızıntıların tehdidini örnek göstererek, sevk edilmiş ABD askerlerinin fitness takip cihazlarını kullanmasını yasakladı. Elbette, günlerini ABD askeri üslerinde geçirmeyenler için bu çözüm gereğinden fazla bir önlem olur. Yine de, fitness uygulamanızın güvenlik ayarlarını yapmaya vakit ayırmanızı öneriyoruz.

3. Metaveri yayınlamak

Sırların bazen dosya bilgilerinin içine, başka deyişle metaveriye gizlenebildiği kolaylıkla unutulabiliyor (ya da en baştan hiç bilinmiyor). Özellikle fotoğraflar genellikle çekildikleri yerin koordinatlarını içeriyorlar.

2007 yılında, ABD askerleri (burada tekrarlayan davranış örüntüsü var gibi gözüküyor) Irak’taki bir üsse inen helikopterlerin fotoğraflarını sosyal medyada paylaştılar. Fotoğrafların metaverileri lokasyonun tam koordinatlarını içeriyordu. Hikayenin bir versiyonuna göre, bilgiler daha sonradan ABD’nin dört helikopterine mal olan bir düşman saldırısında kullanıldı.

4. Sosyal medyada aşırı paylaşım yapmak

Sadece birinin arkadaşlarına bakarak bazı sırları ele geçirebilirsiniz. Örneğin, eğer belli bir bölgedeki satış personeli bir şirket yöneticisinin arkadaş listesinde aniden belirmeye başlarsa, rakipler o şirketin yeni pazarlar arayışında olduğu sonucunu çıkarabilir ve erken davranıp avantaj sağlayabilir.

2011 yılında, Computerworld muhabiri Sharon Machlis LinkedIn’den bilgi toplamak üzerine bir deney yaptı. Sitede sadece 20 dakika dolaşarak, Apple’ın çevrimiçi forumlarındaki moderatörlerin sayısını, şirketin İK altyapısının ayarlarını ve çok daha fazlasını buldu.

Yazarın da kabul ettiği gibi, ticari sır gibi bir şey bulmamıştı, ama Apple daima güvenliğe ortalama bir şirketten daha fazla önem vermekle övünür. Bu arada, bir İK başkan yardımcısının yine LinkedIn’de sıralanan görevlerinden yola çıkarak herhangi biri şirketin hangi bulut hizmetleri üzerinde çalıştığını bulabilir.

Verileri farkında olmayarak ortalığa saçmayı engellemenin yolları

Çalışanlar farkında olmayarak şirketinizle ilgili pek çok bilgiyi paylaşabilir. Sırlarınızın herkese açık hale gelmesini önlemek için, çevrimiçi bilgi paylaşımı ile ilgili katı kurallar koyun ve tüm çalışanlarınızı şu şekilde bilgilendirin:

  • Sosyal medyada paylaşmak üzere fotoğraf ve video çekerken, kadraja orada olmaması gereken hiçbir şeyin girmediğinden emin olun. Aynı şey biri sizi veya ofisinizi fotoğraflarken ya da videoya çekerken de geçerlidir. Gazeteciler bunu umursamaz, ama şifreleriniz internette dolaşmaya başlarsa ağır biçimde cezalandırılabilirsiniz. Çekimlerinizi bu amaç için ayrılmış alanlarda yapın. Böyle alanlar yoksa, en azından çekim yapmadan önce duvarları ve masaları kontrol edin.
  • Ayrıca, görüntülü aramalarda, görüştüğünüz kişiler iş arkadaşlarınız ya da ortaklarınız dahi olsa, karşı tarafın arkanızdaki duvarda ne gördüğüne dikkat edin.
  • Hassas kişisel ve iş bağlantılarınızı sosyal medyadan gizleyin. Rakiplerin, dolandırıcıların ve diğer kötü niyetli kimselerin bu bilgileri size karşı kullanabileceklerini unutmayın.
  • Bir dosya yayınlamadan önce, metaverilerini silin. Bunu Windows bilgisayarlarda dosya özelliklerinden yapabilirsiniz; akıllı telefonlarda ise bunun için özel uygulamalar var. Karşı taraf bir fotoğrafın nerede çekildiğini veya bir belgenin kimin bilgisayarında yaratıldığını bilmek zorunda değildir.
  • Böbürlenmeden önce, iş başarılarının aslında ticari sırlar olup olmadığını tartın. En azından, zaferlerinizi en ince ayrıntısına kadar göstermeyin.

Çalışanlar hangi bilgilerin gizli olduğunu ve bu bilgileri nasıl kullanacağını net olarak anlamalıdır. Otomatik güvenlik farkındalığı platformumuz bu konuda eğitim vermektedir.

İpuçları

Uçakta sahte Wi-Fi

Yakın zamanda gerçekleşen bir tutuklama olayının da kanıtladığı gibi, seyir halindeyken bile siber tehditler dijital hayatınızı alt üst edebilir. Peki deniz seviyesinden 10.000 metre yükseklikte kendinizi nasıl koruyabilirsiniz?