Facebook geçtiğimiz günlerde “başkasının profilinden gör” özelliği üzerinden bir 0day açığı ile 50 milyon kişinin verisini kaptırdığını açıkladı. Söz konusu zafiyet Facebook mühendisleri tarafından 25 Eylül tarihinde tespit edildi. Hemen akabinde 28 Eylül tarihinde biz kullanıcıları ile haber blogu üzerinden bu konuya ufak bir açıklama getirdi.
Yapılan açıklamada, “İlk olarak, güvenlik açığını giderdik ve yasa uygulayıcılarını bilgilendirdik. İkincisi, güvenliklerini korumak için etkilendiğini bildiğimiz yaklaşık 50 milyon hesabın erişim belirteçlerini (access token) sıfırladık. Geçtiğimiz yıl bir “Farklı Görünüm” konusuna tabi tutulan 40 milyon hesap için erişim belirteçlerini sıfırlamanın ihtiyatlı adımını da atıyoruz. Sonuç olarak, şu anda 90 milyondan fazla kişinin Facebook’a veya Facebook Giriş’i kullanan uygulamalarına giriş yapması gerekiyor.” bilgisi verildi.
Bu açıklamadan şunu çıkarıyoruz. Kimliği belirsiz kişi veya kişiler tarafından Facebook profilleri üzerindeki “Başkasının Gözünden Gör” butonu üzerinde tespit edilen bir zafiyet kötüye kullanılarak 50 milyon kişinin kişisel verilerine erişildi.
Daha net anlatmak için “Access Token” (erişim belirteci) tarafına odaklanalım!
Facebook’a şifrenizi bir kere girersiniz ve logout yani çıkış yap butonuna basmadan kapatırsanız, tarayıcınız üzerinde giriş yaptığınız zaman oluşturulan bir “Access Token” sayesinde tekrar açtığınız zaman yeniden şifrenizi girmenize gerek kalmaz. Aslında 50 Milyon kişinin şifresi çalınmadı, Access Token yani erişim belirteci denilen bir anahtar dizisi çalındı. Bu anahtar sayesinde şifreye ihtiyaç duyulmadan ya da 2FA (sms doğrulaması / mobil kodmatik) gerek kalmadan hesaba giriş yapılabiliyor. Siz ne kadar kodmatik veya SMS doğrulaması kullanırsanız kullanın, adamların elinde Access Token olduktan sonra istedikleri gibi hesabınıza giriş yaptılar.
Açıklamada bir diğer dikkatimi çeken husus da 50M kişiyi belirlemişler ancak nedense 90 M kişinin hesabına logout yaptırmışlar. Bu kişilerden biri de bendim. Eğer geçtiğimiz hafta telefonunuzdan veya bilgisayarınızdaki tarayıcıdan otomatik olarak çıkış yaptıysanız yalnız değilsiniz, kurbanlardan biri de siz olabilirsiniz…
Facebook ilgili açığı kapatmış ve 90 M kişinin Access Token’ını sıfırlamak için sistemden otomatik çıkış yaptırmış. Hacklendiler, 50 milyon kişinin datasını çaldırdılar ancak 90 milyon kişiye çıkış yaptırdılar. Peki neden 90 milyon kişiye bu işlemi yaptırdılar diye soran yok? Hani 50 milyon kişiyi tespit etmiştiniz? İhtiyatlı davranıp geçen yıl “profilimi başkasının gözünden gör” yapan 40 milyon kişiyi de dahil etmişler…
Burnuma pis kokular geliyor…
Kısacası Facebook bu hacklenme vakasının ne zaman gerçekleştiğini bilmiyor. Adamlar bunu yeni fark ettiler geçmişe bakıp ya ihtiyatlı davranalım geçen sene “profilimi başkasının gözünden gör” özelliğini kullanan kim varsa sıfırlayalım” şeklinde bir tavır takınıyorlar.
İhlal, 25 Eylül’de Facebook mühendisleri tarafından keşfedildi.
Facebook hack işleminin ne zaman gerçekleştiğini bilmiyor, bilgisayar korsanlarının özel mesajlara erişip erişmediğinden de haberi yok. Üstelik kullanıcıların adına bir paylaşım yapılıp yapılmadığı hakkkında da ellerine kanıt olmadığını söylüyorlar.
Yani şuna mı inanalım?
Adamlar geldiler, profilimize girdiler, kişisel verilerimize baktılar sonra gittiler?
Geçenlerde bir yazı kaleme almıştım hatırlarsanız “10 Milyon Kişiye Gönderilen Toplu SMS Vakası!” başlığı ile sizlerle paylaşmıştım. Bu yazıda ne diyordum? Mersin Belediyesi hacklendi. Üstelik Şubat ayında yani çok önceden hacklenmiş adamlar aylarca sistemlerde cirit atmışlar, Mersin Belediyesinin dünyadan haberi yok! Adamlar Şubat ayında yalnızca belediyenin ana sayfasını değiştirmekle mi kaldılar? Hayır Şubat ayında ele geçirdikleri datalar üzerinden Ağustos ayında 10 milyon kişiye SMS gönderdiler!
İşte mesele burada başlıyor. Birileri Facebook’u hackledi yalnızca kişisel verilerimizi çaldılar öyle mi? Özel mesajlarımız çalınmadı yani? Onlara dokunmadılar? Kişisel verilerimizi ne yaptılar ya da yapacaklar?
Burnuma pis kokular geliyor!
Cambridge Analytica skandalını hatırlıyor musunuz? Şöyle bir hatırlayalım neler olmuştu?
“Sadece 68 defa “Beğen” butonuna basmış herhangi bir Facebook kullanıcısının hangi partiye oy vereceğini %85 doğrulukla bulabiliriz…”
Cambridge Analytica; tüketici, takipçi, seçmen davranışlarını değiştirmek isteyen iş dünyası ve siyasi partilere hizmet sunmayı amaçladığını ilan ederek 2013 yılında Londra’da kurulmuş bir özel şirket olarak karşımıza geliyor. Şirket, verilerimizi davranış bilimlerini kullanarak analiz edip kurumların kitlelerini belirlemeye yardımcı olacağını ilan ediyor. Şirketin ilan etmediği ise gizlilik noktasına başlıyor! Bir uygulama geliştiriyorlar. Bu uygulamayı Facebook üzerinden yayına alıp, insanlara “kişilik testi” adıyla sunuyorlar. Uygulamaya dahil olup, siz soruları cevaplarken uygulama arka planda tüm verilerini sunucularına kopyalıyor! Arka planda müthiş bir analiz gerçekleştirerek şu sonuca varıyorlar!
“Yalnızca 68 defa “Beğen” butonuna basmış bir kişinin hangi partiye oy vereceğini %85 doğrulukla bulabiliriz”
Düşünsenize, günde kaç defa beğen tuşuna basıyorsunuz? Belki onlarca kez… Bunların yalnızca 68 tanesini alıp analiz ettikleri zaman siyasi partinizi tespit edebiliyorlar.
Bunu nasıl öğrendik? Amerikada bir tv kanalının muhabirlerinden (Black Mirror dizisini yayınlayan kanal) birisi bu adamların yedikleri haltları ortaya çıkarmak için şirketten müşteriymiş gibi bir randevu alıyor ve görüşmenin gizli kamera kaydını alarak bizlerle paylaşıyor.
ABD’de Trump’ın başkan olduğu başkanlık seçimi ve aynı yılın kasım ayındaki İngiltere’nin AB’den ayrıldığı Brexit referandumu kampanyalarında neler yaptılar, bilinmez! İddialar hatta soruşturmalar Nijerya, Kenya, Çekya, Hindistan ve Arjantin’a kadar uzanıyor.
Sistemin çalışma prensibi şu şekilde işliyor.
Bireylerin her davranışının kişiliklerindeki 5 yapı taşı (yeniliklere açıklık, mükemmeliyetçilik, sosyallik, uzlaşmacılık ve kırılganlık) üzerinden çözümlenebileceğini savunuyor. Teoriyi test etmek ve sonuçlar bulmak için kendi geliştirdikleri “MyPersonality” adlı bir Facebook uygulaması yapmışlar. Facebook kullanıcılarına kişisel basit sorular soran bu kişilik testi uygulaması üzerinden gönüllü denekler ile çalışmaya başlamışlar. Hatta bu anketi cevaplamamız için 1 USD, 2 USD gibi ücretler de ödenmiş…
Sonuç olarak bu uygulama sayesinde 50 milyon kişinin hesabındaki verileri çekmişler. İşin pis tarafı ne biliyor musunuz? Mesela siz benim arkadaşımsınız ve profiliniz dışarıya kapalı. Uygulamayı ben yüklersem, benim arkadaşım olduğunuz için sizin bilgileri de kopyalayabiliyor! Toplamda belki 200 Milyondan fazla kişinin verisi toplanarak analizler yapıldı.
Bu verileri aldıktan sonra yaptıkları analizlere göre; herhangi bir Facebook kullanıcısının sadece 68 Beğenisi üzerinden deri rengi, cinsel yönelimi ve hangi partiye oy vereceğini %85 doğrulukla ölçebildiklerini keşfetmişler.
Eğer 70 beğeni incelenirse sizi arkadaşlarınızdan daha iyi tanıyorlar. Eğer 150 beğeni incelenirse ailenizden, 400 beğeni incelenirse sizi eşinizden daha iyi tanıdıkları ortaya çıkmış. Tam 1 milyon dolarlık bir araştırma ve müthiş bir data elde ediyorlar.
Peki ne oldu?
Cambridge Analytica ekibi Trump’ın seçim ekibi ile çalışıp kendi ifadeleriyle; “Milyonlarca veriyi analiz ettik. En çok ikna edilebilecek seçmeni tespit edip, ilgilendikleri meseleleri belirledik ve ‘kişiyi hedef alan’ mesajlarla harekete geçirdik.” Hani internet özgürdü? Hani Facebook, Twitter gibi ağlarda binlerce kişinin sesini duyuyor ve özgürce hareket ediyorduk?
Hayır, ABD Başkanlık Seçimlerinde Facebook’a giren milyonlarca insan özgür olmadı! Trump’a oy vermek istemeyen insanların karşısına Trump’un sevindirici haberleri ve rakibinin rezaletleri gösterildi. Hani şu Facebook haber kaynağınız var ya yukarıdan aşağıya bir sürü paylaşım yapılan! İşte o özgür sandığınız alanı kontrol altına aldılar ve Trump’a oy vermeniz için özel haberlerle donattılar! Politik mesajları test ettiler. “İslam’ın bu ülkede yeri yok” gibi radikal bir söylemi haberleştirip, profil tepkilerine baktılar. Etkili yalanlar üretip, yaydılar. “Göçmenlerin ülkemize maliyeti askeri harcamalarımızın üstünde..” gibi. 17 eyalette her gün Facebook üzerinde ellerindeki profillerin kişiliğine göre şekillendirilerek sadece o kişiye gösterilen Trump yanlısı paylaşımlar ve anketler yaptılar. Trump’a asla oy vermeyecek Miami’deki siyahlara, onları sandığa gitmekten alıkoyacak haberleri (örneğin: Clinton aleyhinde) gösterdiler. Bu sayede seçime katılımı bölgede %7–8 etkilediler.
Sonuç olarak Trump kazandı!
Trump’ın seçim kampanyasının dijital kısmını yöneten Theresa Hong kamera karşısına geçip şu açıklamayı yapmıştı.
“85 milyon dolar harcadık. Facebook olmasaydı, seçimi kazanamazdık..”
Biz dijitalciler ve dijital pazarlama uzmanları da bunu okuyunca vay be adamlar sağlam kampanya yapmış ve başarmışlar helal olsun dedik! Halbuki seçimi kazandıran dijital pazarlama veya dijital iletişim değildi. Onların kazanmasını sağlayan Facebook üzerinde insan davranışlarını analiz edip, oy verecek kişilere manipülasyon ve dezenformasyon yapmalarıydı! Tüm bunları ortaya çıkartan Channel 4 News muhabirine binlerce kez teşekkür etmek lazım.
Cambridge Analytica CEO’su Nix ise gizli kamera kaydında; “internette yaydıkları bilginin illa doğru olmak zorunda olmadığını duyguları harekete geçirmesinin yeterli olduğunu” söylemiş. Haklı da…
Hatırlarsanız bir süre önce Google’ın bir projesi vardı. “Google Project Loon” havadan ücretsiz internet projesi… Ücretsiz internet verecekler bize niye mi? Özgürlük falan! Daha büyük yalan yok..
Zuckerberg, “hatalar yaptık” dedi ve ekledi “şu ana kadar çok ciddi kullanıcı kaybetmedik, özür dileriz..” üstü kapandı gitti.. Brexit konusu ilginç olacak! Yukarıda satır arasında bahsetmiştim. İngiliz halkına “Türkler AB’ne giriyor dikkat!” şeklinde mesaj çıkarttıklarını biliyor muydunuz?
50 Milyon Kişinin Verisi Çalındı!
Burnuma pis kokular gelmesinin en büyük sebebi burada başlıyor. Bu 50 milyon kişinin verisini neden çaldılar? Ne amaçla kullanacaklar? Kimlere sattılar? Kimlere hizmet ediyorlar?
Kısacası yeni bir Cambridge Analytica skandalı ile karşı kalırsak hiç şaşırmayın!
Geçtiğimiz gün ise Independent sayfasında “Facebook hesapları DeepWeb’de satışa çıktı” şeklinde bir haber yayınlandı. Haberi okuduğumda dark web olarak adlandırılan internetin karanlık yüzünde Facebook hesaplarının satışa çıktığını ve 3 USD – 12 USD arasında satışlar yapıldığı yazıyordu. Tor networküne dalıp gerçekten de bu satış var mı diye inceledim. Evet, gerçekten de bu satış yapılıyor. Haberdeki ekran görüntüleri ise doğru… Ancak gerçekten de hesap mı satıyorlar yoksa sahte mi bilemiyorum. Para verip doğrulamaya hiç niyetim yok…
Artık şirketler, hükumetler, istihbarat servisleri kişisel verilerimizin peşine düşmüş durumda. Yalnızca kötü niyetli siber korsanlarla sınırlı değil! Kişisel verilerimizi de korumak zorundayız. Bunun da ilk adımı araştırma, sorgulama ve eğitimle başlıyor. Bu tarz manipülasyon ve dezenformasyonlarla daha çok başımız ağrıyacak. Her gün binlerce sahte haber ve paylaşım karşımıza geliyor. Kimine inanmıyor, kimini ise sorgulamadan taraf tutup sinirleniyoruz. Sorgulama kabiliyetimizi elimizden hiç bırakmamamız gerekiyor. Çünkü bu mecralar yalan, iftira, sahte haber ve manipülasyonlarla dolu! Benim kişisel verilerimi alsalar ne olacak? Sorusunu soracağınıza, beni nasıl manipüle ettiler, nasıl becerdiler sorusunu kendinize sormanız daha yerinde olacaktır. Gençlerimizi bilinçlendirmek ve bu olayların da olduğunu göstermemiz lazım. Diğer bir yandan da çocuklarımızı internetin karanlık yüzünden korumak zorundayız.
“İnternette bana bir şey olmaz, ben kimim ki, benim paylaştıklarım önemsiz, benim profilim kapalı arkadaşlarım dışında kimse göremez, her şeylerimiz zaten ellerinde” gibi umarsız, güvenliği gereksiz bulan, teslimiyetçi veya komplocu yaklaşımların bu işleri yapanlara yaradığını da unutmamamız gerekiyor.
Bakalım bu skandalın altından ne çıkacak? Yarın öbür gün özel mesajlarınız, fotoğraflarınız veya Whatsapp konuşmalarınız satışa çıkarsa hiç şaşırmayın derim…
İlerde öyle bir hal alacak ki özelini paylasmayani, akıllı telefon kullanmayani, drone, sokaklardaki kamera, uydu ile takip edecekler. Suçlu malını çaldıran değil, elin gavuruna güvenip her b*ku/nu paylaşan yazışan,beğenen kimse suçlu bence. Ha Facebook verileri depolamış ha çaldırmış aynı bence . Facebook ne belli verilerimizi para karşılığı satmadığı.??
Kaptırmadı, sattı. Bu başlık sana yakışmadı.