T24 müellifi Füsun Sarp Nebil, Facebook’tan çalınan kullanıcı bilgilerine ait, “Bu bilgileri alanlar, kimlik avı atakları için e-posta adreslerini ve smishing (mobil metin kimlik avı) atakları için cep telefonu numaralarını kullanabilir…” dedi.
Nebil’in yazısı şöyle:
Cumartesi gecesi 533 milyon Facebook kullanıcısının bilgisinin çalındığını yayınlamıştık [1]. Artık bilgiler biraz daha ortaya çıkmış durumda. Uzmanlar bu taarruzun odak noktasını “Telefon numaraları” olarak tanımlıyor. En altta dikkatli olmanız gerekenleri yazdık.
Herkesin başındaki sorulardan birisi, Facebook bilgilerinin cumartesi günü kolay bir hacker forumunda ortaya çıkması: “Neden parasız konulmuş ya da neden kolay bir hacker forumunda satılıyor?” diye soruluyor lakin bu hacker topluluğunun olağan çalışma stili.
Şöyle ki; 2019’da çalınan bilgiler birinci olarak Haziran 2020’de bir hacker topluluğunda satılmış. O birinci satışta fiyatın 30 bin dolar olduğu sav ediliyor. Bunu Facebook kullanıcıları daha evvel bu türlü duymadı, zira hacker topluluğu içinde kalmış. Sonra bir daha, bir daha satılmış, satılmış. Artık “herkese açık” forumda ortaya çıktığında fark edilmiş. Fark eden de güvenlik araştırmacısı Alon Gal.
Dün bir Facebook yöneticisinin, Twitter üzerinden de söylediği üzere sızma 2019’da raporlanmış [2] ve Facebook da açığı Ağustos 2019’da kapatmış. Listede, Facebook’un kurucularından Mark Zuckerberg, Chris Hughes ve Dustin Moskovitz’in birinci Facebook’a kaydolan 4, 5 ve 6 nolu üyeler olarak telefon numaraları bulunuyor.
Önce Türkiye’nin en çok verisi çalınan 7’nci ülke olduğu listeye bakalım, hangi ülkeden kaç kişinin verisi sızmış? Aşağıda daha çok ayrıntı verelim.
533 milyon çalınmayla ilgili öteki detaylar
Olayı raporlayan, siber kabahat istihbarat firması Hudson Rock’ın CTO’su Alon Gal’e nazaran, hackerlar 2019’da Facebook’un “Arkadaş Ekle” özelliğindeki -Ağustos 2019’da yamalanmış olan- bir güvenlik açığından yararlanarak, üyelerin telefon numaralarına erişmişler.
Bu güvenlik açığının, hackerlara sızdırılan bilgilerdeki tüm bilgileri mi, yoksa sadece telefon numarası almasına mı, müsaade verdiği bilinmiyor. Yani telefon numaraları daha sonra genel profillerden alınan bilgilerle birleştirilmiş de olabilirmiş.
Verilerin 30 bin dolara satıldığına inanılan birinci satışından sonra, öbür bir hacker, öbür hackerların Facebook dataları üzerinden ölçüye nazaran para ödeyerek arama yapacakları bâtın bir Telegram botu yaratmış. Data sızıntıları, başlangıçta özel satışlarda yüksek bir fiyata satılırken, giderek daha düşük fiyatlara satılıyor. Sonunda da hacker topluluğu içinde prestij kazanmanın bir yolu olarak fiyatsız olarak yayınlanıyor. Bu bir kural üzere.
KVKK soruşturması
Facebook’un aldığı bilgileri müdafaa yükümlülüğü var. Bu hususta KVKK bugün soruşturma açıldığını bildirdi. Dediğimiz üzere, açık “Arkadaş Ekle” işlevi ile ilgiliymiş ve 2019’da yamalanmış. İncelenecek husus bu olacak. Sonuçta da bir ceza kesilecek ya da kesilmeyecek.
Ama değerli olan bu değil. Sonuçta 20 milyon Türk kullanıcının bilgisi sızdı. Bu bilgiler muhtemelen dolandırıcılık için kullanılacak ve yüzde 10 bu dolandırıcılığı yutsa, toplamda 2 milyon kişinin canı yanacak. Buna yanıt var mı?
KVKK cezası bir nevi “işini âlâ yapmamışsın, bilgileri korumamışsın” denilerek, kanunda yazılan hudutlar içinde bir sayı olacak ancak bu sayı dolandırılan insanların ziyanını ödemek için kullanılmayacak.
Ne yapacağız?
Facebook’u silme ile ilgili yarın bir canlı görüntü yayın yapacağımızı üstte belirttik. Bunun dışında yani “silmezsek, ne yapacağız?” diyenler için 2-3 şey söyleyelim:
- Hackerlar, banka kullanımı üzere hususlarda SMS ile gönderilen çok faktörlü kimlik doğrulama kodlarını çalmak için SIM değiştirme hücumları gerçekleştirmek için cep telefonu numaralarını ve sızdırılmış bilgileri de kullanabilir. DİKKATLİ OLUN!
Facebook’u silme vakti geldi mi?
Tabii ki bu ortada sorulardan birisi bu. Facebook’u silelim mi? Öbür uygulamaları da silelim mi? Yani WhatsApp ve Instagram.
Halbuki arkadaşlarımızdan bilgi alıyoruz, hava atıyoruz, bir daha bulamayacağımız arkadaşlarımızı buluyoruz.
Ama bu artık diğer noktaya gidiyor. Facebook şunları yapıyor:
- Bu bilgileri reklamcılara satıyor.
- Başka kime satıyor? (Bilmiyoruz, mesela namaz uygulamasını Amerikan Ordusuna satan şirket var.)
- Verileri manipülasyon için kullanıyor (Buna dair bir sürü haber yayınladık).
- Eğer hükümet isterse, ferdî bilgi kapsamındaki kapalı görüşmelerimizi veriyor mu? (Hindistan’da vermiş.)