Bir süre önce LinkedIn’i ilgilendiren güvenlik sorunları ile ilgili haberleri duymuş olmalısınız. Ne olduğu, hangi bilgilerin ihlale dahil olduğu ve korumak için gerekli önlemler ile ilgili unsurlardan haberdar olduğunuzdan pek emin değilim. Birçok kişi halen daha Linkedin şifresini değiştirmemiş ve bu sebeple hesaplarını kötü niyetli saldırganlara kaptırabiliyorlar.
Neler oldu?
17 Mayıs 2016 tarihinde, 2012 yılında LinkedIn’den çalınan veriler İnternet üzerinden yayınlandı. Yani hesapları birileri hacklemişti veya bir şekilde dışarı sızdırılmıştı. Sonrasında ise İnternet üzerinden dağıtmaya başladı.
Linkedin’e göre bu yeni bir güvenlik ihlali veya “hack” girişimi değildi ve risk altında olduğuna inandıkları herkesin LinkedIn hesaplarının şifrelerini geçersiz kılmak için gerekli adımlar hemen atıldı. E-posta kutularımıza birer şifre değiştirme bağlantısı gönderildi.
2012 yılındaki ihlalden önce oluşturulan ve ihlalden sonra şifreleri değiştirilmemiş olan hesaplar vardı.
Hangi Bilgiler İhlale Dahil?
2012 yılından üye e-posta adresleri, karma haline getirilmiş (hashed) şifreler ve LinkedIn üye kodları (LinkedIn’in her üye profiline atadığı ve dahili olarak kullanılan kimlikler)
Bu hashlenmiş veriler kırılabilir mi?
Evet, mümkün! Elinizde yeterli kaynak varsa ve yeterli zaman varsa şifreler kırılabilir. Hatta İnternet üzerinde birçok hack forumunda bu verilerin kırılmaya başlandığı ve gerçek şifrelere ulaşıldığı okuyoruz.
Linkedin ne yapıyor?
2012 yılındaki ihlalden önce oluşturulan ve o zamandan beri şifreleri değiştirilmemiş tüm LinkedIn hesaplarının şifrelerini geçersiz hale getirildi. Buna ek olarak, LinkedIn hesaplarında meydana gelebilecek tüm şüpheli işlemleri tanımlamak ve engellemek için otomatik araçlar kullanıyorlar. Ayrıca bu konuyu soruşturan icra makamlarıyla birlikte çalışmalarının da sürdürüldüğünü belirtiyorlar.
Linedin 2012 yılından beri birçok güvenlik önlemi aldı. Şifreler açık değil, hashlenmiş olarak saklanıyor. Bu da bir nevi gerçek şifreye ulaşılmasını zorlaştıran yöntem. Ancak kırılamaz değil… Ayrıca iki kademeli güvenlik gibi ek güvenlik önlemleri de alındı.
Neler yapabiliriz?
- Bilgilerinizin güvende olduğundan emin olmak için Linkedin Güvenlik Merkezini ziyaret ederek iki aşamalı onay hakkında bilgi edinebilirsiniz.
- Eğer SMS doğrulamasını aktif ederseniz mobil cihazınız ile ikinci bir güvenlik önlemi almış olursunuz. Bu sayede gerçek şifrenizi ele geçirseler dahi, hesabınıza giriş yapamazlar.
- Diğer bir noktada ise şifrenizi mutlaka değiştirmenizi öneririm.
- Son olarak güçlü şifreler kullanarak kendinizi daha da güvenli bir hale getirmeniz gerekiyor!
Kısacası basit şifreler kullanmayın, şifrenizi değiştirin ve SMS doğrulamasını aktif edin…
Eline sağlık abi ama SS7 zafiyetinden dolayı artik “SMS doğrulama ile 2 way auth.” tehlikeli bir hal almaya başladı. Örnek; http://www.forbes.com/sites/thomasbrewster/2016/06/15/hackers-steal-facebook-account-ss7/#9bf0b3a8fa7f
SS7 zafiyeti ile de ilgili bir yazını bekliyorum.
Selamlar. 🙂
Eyvallah en kısa sürede…