Facebook veri kaybı vakası ve alınması gereken dersler üzerine…
Facebook, 50 milyon kullanıcı hesabını doğrudan ele geçirildiğini fakat 40 milyon hesabı da dolaylı yoldan etkileyen bir güvenlik olayı yaşadığını duyurdu.
Bu vaka ile bahsedilen sadece 90 milyon hesabın bilgileri değil, Facebook ile giriş yapma özelliği kullanılarak erişimde bulunulan Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia, The New York Times vb. sitelere de erişim imkanı tanınmış olabilir.
Siber saldırganlar, Facebook’un ‘view as’ özelliğinde bulunan bir açığı istismar etmiş. ‘View as’ özelliği, Facebook hesabınızın bağlantıda olduğunuz veya olmadığınız kişilerce nasıl görüntülendiğini onların gözünden görmenizi sağlayan bir özellik.
Saldırganların bu özellikte bulunan bir açığı istismar ederek 50 milyon kullanıcının oturum anahtarını (token) çaldığı belirtiliyor. Oturum anahtarı sizi Facebook’u her açtığınızda kullanıcı adı ve parolanızı yazmaktan kurtaran dijital anahtardır.
50 milyon hesaba ek olarak, bu özelliği kullanan 40 milyon hesabın da bu olaydan etkilenmiş olma ihtimali var. Facebook önlem olarak 90 milyon hesabın oturum anahtarlarını sıfırlayarak kullanıcılarını yeniden giriş yapmaya zorladı. Bu sayede çalınan oturum anahtarları geçerliliğini yitirmiş oldu.
Olayın gerçek boyutunu anlamak için araştırmalar devam ettiğini söylemektedir fakat Facebook ‘view as’ özelliğini şimdilik devre dışı bıraktı.
Bugün Facebook’a tekrar giriş yapmak zorunda kaldıysanız, hesabınız bu olaydan etkilenen 90 milyon hesaptan biri olabilir.
Ayrıca haberin ardından Facebook hisseleri yüzde 3 değer kaybederek 163,87 dolara indi.
Facebook’un aldığı tedbirlere ek olarak biz siber kullanıcılara altın öğütler:
1. Facebook parolanızı derhal değiştirin. (Diğer sosyal medya hesaplarınızın şifrelerini de değiştirin)
Şifre konusunda bu kadar paranoyak olmamın nedeni, ŞİFRENİZİN en önemli bilginiz olması!
2. Tahmin edilmesi zor, uzun (10 karakter ve üstü) ve karmaşık (büyük ve küçük harfler, özel karakter ve rakam içeren) parolalar kullanın.
3. Facebook parolanızı e-posta, Twitter veya Instagram vb. hesaplarınız için kullanmayın. Her hesap için ayrı parola kullanmaya özen gösterin.
4. Parolalarınızı 45 günde, en fazla üç ayda bir değiştirin.
5. Gmail, Facebook ve Twitter’ın kullanıcılara kullanması için sunduğu iki faktörlü doğrulama mekanizmasını devreye alın. Böylece parolanızı biri öğrense bile telefonunuza gelecek SMS koduna sahip olmayacağı için giriş yapması mümkün olmayacaktır.
6. Hesabınızı kurtarabilmek için güvendiğiniz bir kişiyi tanımlayın.
7. Tanımadığınız kişilerden veya tanıdığınız kişilerden gelen ama beklemediğiniz mesajlardaki bağlantılara tıklamayın.
8. Mesajlar içerisindeki dosya eklerini hele ki tanımadığınız bir kişiden geliyorsa açmayın.
9. Facebook’un Ayarlar sekmesinin altındaki Güvenlik ve Girişmenüsünde bulabileceğiniz “Tüm Oturumlardan Çıkış Yap” butonuna tıklayarak bilginiz dışında Facebook hesabınızın açık kalmış olabileceği tüm bağlantılardan çıkış yapın.
Benzer hizmeti nereden alabilirim derseniz, Google veya Microsoft’un sunmuş olduğu hizmetleri kullanabilirsiniz. Bu zamana kadar bir vaka yaşamamış olmaları hiç yaşamayacakları anlamına gelmese de, şu an en güçlü olanları diyebilirim.
Ne olursa olsun yüzde yüz güvenlik olmayacağını bilmemiz gerekiyor. Bireysel güvenlik kontrollerimizi hep uygulamalıyız.
Hiçbir endüstri, organizasyon ya da birey ‘veri kaybı’ konusunda kendini rahat hissetmemelidir. — Verizon 2016
