Twitter (veya Facebook) hesabınız nasıl hack’leniyor?
Nasıl korumalı?
Nasıl geri almalı?
Hiçbir çözüm sizi tamamen korumaz, ama hacker’ların işini *1 adım* daha zorlaştırmanız mümkün.
tl ; dr — Şifrenizi girdiğiniz sitenin gerçekten https://twitter.com veya https://www.facebook.com olduğuna emin olun, **2 adımlı** güvenliğe geçin, öyle her uygulamaya onay vermeyin.
“Sevilen oyuncu X’e şok” başlıklarıyla verilen ve ‘ünlü’lerin sosyal medya hesaplarının hacker’larca ele geçirilmesi hakkındaki iki satırlık haberler son haftalarda iyice sıklaştı; neredeyse sıradanlaştı.
Hacker’lara savaş açmak haddime değil; amacım de değil. Ama elimdeki bilgiyi paylaşmak görevim (read: #KamuHizmeti). Hem belki işinize de yarar?
[ Bu arada, artan hack’lerin sebebi bence tam olarak şu: Kutuplaşan siyaset alanında kendi görüşlerinin temsil edilmediğini düşünen siyasi hacker grupları, böyle ses getirecek eylemlerle kendilerine ifade delikleri açıyorlar. —Buna dair ayrıntılı yazıyorum, yayımlanınca tam buraya link eklerim. Sosyoloji parantezi kapat. ]
Konumuza dönelim:
Twitter veya Facebook hesabınız nasıl hack’leniyor?
Aşağıdaki görselleri yakın zamanda Twitter hesabı ele geçirilen Genco Erkal (@DOSTLARTIYATRO) paylaştı. Facebook için gönderilen eposta da buna çok benziyor, “Twitter” yazdığım yerleri “Facebook” gibi okuyabilirsiniz.
Adım adım gidelim:
1. Twitter’mış gibi, Twitter fontu ve Twitter diliyle gönderilmiş bu eposta sahte bir Twitter sayfasına yönlendiriyor.
2. Sahte Twitter sayfasına girilen kullanıcı adı ve şifre Twitter’a değil, hacker’lara gidiyor.
[ Bu görseldeki sahte adrese —twitter,zz,mu—artık ulaşılamıyor. Google’ın önbelleğe aldığı kopyasına bakınca bu sayfaya Hostinger.web.tr adlı ücretsiz yer sağlayan bir şirketin sunucuları hizmet vermiş gibi görünüyor, ana şirket Hostinger.com. Şirketin eposta adreslerine konuyu yazdım, bunu fark edip hizmeti hemen durdurduklarını belirten bir cevap yazdılar. Bu adresin hangi tarihler arası açık kaldığına ve kim tarafından alındığına dair sorularıma ise cevap vermediler. Meraklı parantezi kapat. ]
Elbette bu yukarıdaki yöntem hacker’ların alet çantasındaki tek numara değil. Instagram hesabınızı çalabildiğini iddia eden Android uygulaması bile yapmışlar.
Hele de, sosyal medya hesaplarınızı yönetmek için bir aracı (third party) uygulama kullanıyorsanız veya bir siteye üyelik için Twitter veya Facebook hesabınızla onay verdiyseniz, hacker’lar hesabınızı tamamen ele geçirmek yerine sizin adınıza hesabınızdan mesaj atmak, fotoğraflarınıza bakmak veya sinsice özel yazışmalarınızı okumak gibi yöntemler izleyebilirler. Bunu yapma yöntemleri oldukça teknik, bu nedenle bu yazıya sığmaz (read: dürüstçe, ben de bilmiyorum, sosyoloğum ben, OAuth 1.0a, 2.0 filan, karışık şeyler; ama bir korunma önerisi aşağıda).
Konumuza dönelim:
Nasıl korumalı?
Twitter’ın adresi şu:
Facebook’un adresi şu:
Tarayıcınızın adres çubuğunda bundan başka bir adres yazıyorsa, kullanıcı adınızı ve şifrenizi girmeyin.
Kullanıcı adınız zaten herkesçe bilindiğine göre sizi koruyan tek şey şifreniz oluyor. Lütfen şifrenizi polisler gibi “123456” yapmayın, İçişleri ve YÖK gibi aynı şifreyi her yerde kullanmayın.
Her site için ayrı ayrı, uzun ve karmaşık şifreler üreten ve bunları sizin yerinize otomatik olarak girebilen uygulamalar var, bence onları kullanın: Açık kaynaklı Mitro, veya LastPass ve 1Password gibi pek çok güvenli şifre yöneticisini hem bilgisayarınızda hem de mobilde eşzamanlı kullanabilirsiniz.
Hesabınızın güvenliği sizin için gerçekten önemliyse (‘ünlü’yseniz ve “şok oldu” başlıklı haberlerden bunaldıysanız; bir haber ajansıysanız ve Beyaz Saray’ın bombalandığını duyurmak sizin için prestij kaybıysa; veya benim gibi normal bir insansanız ve kişisel bilgilerinizin güvenliğine önem veriyorsanız) sadece bir şifreyle korunmak size yeterli gelmeyebilir.
Bu durumda, 2 adımlı giriş yöntemini kullanabilirsiniz. Böylece, herhangi biri doğru şifreyle bile girse, cep telefonunuz gibi 2. bir doğrulama aracına sahip olmadan hesabınıza ulaşamaz.
@EFF’in sitesinde Twitter ve Facebook dışında Google, Apple ve Microsoft için 2 adımlı güvenlik yöntemleri açıklanmış. Ben Twitter ve Facebook için kendi deneyimimi yazıyorum:
Güvenlik ve gizlilik ayarlarında önce telefon numaramı girdim, onayladım. Sonra da Android tabletimden kullandığım resmi Twitter uygulamasını 2. giriş adımı onaylaması olarak seçtim.
Böylelikle, bilgisayarımdan https://twitter.com adresine girip kullanıcı adımı ve şifremi yazdığımda bir bekleme sayfası görünüyor, tabletimde ise hemen bir uyarı beliriyor, “X şehrinden X işletim sistemine sahip bilgisayarla giriş yapıldı, onaylıyor musun?” diyor.
Onayla tuşuna basarsam bilgisayarımdaki Twitter bekleme sayfası hemen normal timeline’a dönüşüyor.
Eğer tatildeysem ve tabletimde/mobilde internetim yoksa Android uygulamasının güvenlik bölümünde çevrimdışı bir şifre var, onu girebiliyorum, o da olmadı, telefonuma SMS ile şifre gönderilmesini isteyebiliyorum.
Baştan söyleyeyim, Facebook’u zaten sevmiyorum, ve git gide daha az kullanıyorum. Android uygulamasını da sildim, neden mesajlaşmak için ayrı bir uygulama daha kuracakmışım ki?
Neyse..
Güvenlik ayarlarının olduğu sayfaya gittim, “login approval” deyince “sizin tarayıcınız çerezlere izin vermiyor, çıkınca siliyor, olmaz bu iş” dedi, hatta “senin bunu düzeltmen birkaç gün alır” diye de küçümsedi.
Evet Facebook, ben sadece (3rd party) çerezleri engellemekle kalmıyorum, çıkınca hepsini siliyorum da. “Facebook.com” yazar yazmaz hesabıma girmiyor bilgisayarım, çünkü zaten şifre yöneticisi kullandığım için istediğim zaman girebiliyorum.
Kaldı ki, EFF’in Privacy Badger adlı çerez engelleyicisini kullanıyorum, Facebook ve Google gibi her girdiğim sitede beni fişleyen tüm çerezcilere karşıyım.
Bu düzeltilmesi gereken bir sorun değil, bence herkesin uygulaması gereken bir pratik; çünkü normal olan fişlenmek değil özgürlük.
Neyse..
Facebook’un Android uygulamasını da kullanmadığım için “code generator” olarak Google’ın Authenticator uygulamasını kullandım. Doğrulama kodu çalışıyor, ama çerez nedeniyle 2 adımlı onaylama sistemine bir türlü geçmiyor.
Üstelik, başka bir yöntem olan telefonuma SMS ile onaylama kodu göndermeyi de kabul etmiyor.
Facebook’u pek sevmediğimi söylemiş miydim?
Hack’lemek isteyen olursa zahmet etmesin, zaten bebek fotoğrafı dışındaki şeyler Facebook duvarında çıkmıyor, duyurmak istediğiniz önemli mesajı Twitter’dan gönderin, paylaşayım.
Gmail ve Hotmail’de de 2 adımlı onaylama süreci oldukça kolay. Eğer sosyal medya hesaplarınız bir eposta adresine kayıtlıysa, ve hacker’ların önce epostanıza sızıp sonra da Twitter’da “şifremi unuttum” yoluyla hesabınızı ele geçirmelerini istemiyorsanız zincirde zayıf halka bırakmayın derim.
Gelelim, şifrenizi ve hesabınızı tamamen ele geçirmeden, fotoğraflarınıza ve mesajlarınıza bakmak isteyen hacker’lara karşı alınabilecek önlemlere.
Artık pek çok siteye girişte Twitter veya Facebook hesabınızı kullanabiliyorsunuz. Mesela, şu anda okuduğunuz Medium’a sadece Twitter veya Facebook hesabınızla girebiliyorsunuz, kendiniz bir kullanıcı adı ve şifre belirleyemiyorsunuz.
Bu sitelere girerken tam olarak neye izin verdiğinize dikkat edin. Örneğin, kişisel mesajlarınıza bakılmasına (DM) onay vermeyin —Medium bunu talep etmiyor mesela. Ama bu onayı verdiğiniz bir uygulama tüm mesajlarınızı okuyabilir, sizin adınıza mesaj veya tweet atabilir, hatta silebilir de.
Sadece sitelere girerken değil, Android ve iOS uygulamaları da böyle bir onay süreciyle çalışıyor. O yüzden güvenmediğiniz mobil uygulamaları hiç kullanmamak, bazen sıkıcı dahi olsa “official app”leri kullanmak ve sürekli güncel tutmak en iyisi.
Şimdiye dek hangi uygulamalara izin verdiğinizi görmek, ve dilerseniz bazılarını kaldırmak için, Twitter’da şuraya, Facebook’ta ise buraya bakabilirsiniz.
Nasıl geri almalı?
Twitter hesabınız çalındıysa buraya, hesabınızdan sizin isteğiniz dışında mesajlar vb. yazılıyorsa şuraya bakın.
Facebook’taki her türlü kayıp ve çalıntı işleri şurada toplanmış.
Instagram kullanmıyorum ben ama çalınmaya değer bir şeyiniz olmuşsa şuraya bakabilirsiniz gibi.
(Geri almaya değer başka sosyal medya hesapları biliyorsanız, yorumlarda lütfen yazın, buraya birlikte ekleyelim.)
Geçmiş olsun.
Benim de bir kere bisikletim çalınmıştı, o kadar da güzel tamir edip boyamıştım.. Tüm suç hırsızın (dilerseniz, sistemin) ama insan en çok kendine kızıyor işte.. Kaliteli kilide para vermeyeyim, bağlamakla uğraşmayayım diyorsun, sonra bisiklet hepten gidiyor. Ah biz.
