On yılı aşkın süredir kimlik hırsızları ve internet dolandırıcıları, insanların paralarını çalmak, hesaplarına girmek ya da onlara bürünmek için çalınmış kullanıcı verilerinin olduğu bir karaborsa oluşturdular. Ekim ayında ise hepimizi sarsması gereken bir gelişme yaşandı: 1,2 milyar insanın verisinin güvensiz bir şekilde depolandığı ortaya çıktı.
İnternetin en karanlık noktalarını araştıran Vinny Troia, dün yayınladığı bir yazısında Ekim ayında yaptığı keşiften bahsetti. Troia, toplamda 1,2 milyar kaydın bulunduğu 4 terabaytlık kişisel verilerin güvenli olmayan bir sunucu üzerinde açıkta ve kolayca erişilebildiğini keşfetti.
Bu inanılmaz keşif gezegenimizde yaşayan insanların çoğunu ilgilendirse de korunan verilerin ne oldukları da biliniyor. Veriler, şifreleriniz, kredi kartı numaralarınız ya da kimlik numaranız gibi bilgileri içermiyor. Ancak içiniz rahatlamasın, ortalıkla resmen avını bekleyen verilerimiz gibi oldukça detaylı bilgilerimizi içeriyor.
Güvensiz bir şekilde saklanan verilerimizde yüz milyonlarca insanın ev ve cep telefon numarası, Facebook, Twitter, LinkedIn ve Github gibi sosyal medya profillerimiz, 50 milyonun üzerinde telefon numarası ve 622 milyon mail adresi bulunuyor. Yani bizi aldatmaya çalışan bir kişi, hakkımızda neredeyse tüm bilgilerimize erişebiliyor.
Troia keşfi nasıl yaptı?
Vinny Troia, güvenlik araştırmacısı arkadaşı Bob Diachenko ile BinaryEdge ve Shodan’da herhangi bir sızıntı olup olmadığını kontrol ederken bu inanılmaz şeyle karşılaştı. Sunucunun IP adresi ancak Google Cloud Services’a kadar takip edilebiliyordu, dolayısıyla bilgileri kimin depoladığı bilinmiyordu.
Bununla birlikte Vinny Troia, bu verileri birisinin daha önce bulup bulmadığını, bulduysa indirip indirmediğini de bilmiyordu. Ancak Vinny’nin söylediğine göre sunucuyu bulmak ve ona ulaşmak oldukça kolaydı. Sunucuya erişmek için yapılması gereken tek şey tarayıcınızın adres çubuğuna ‘http://35.199.58.125:9200’ adresini yazmaktı. Erişim için herhangi bir şifre ya da yetki gerekmiyordu.
Keşfi yapan Vinny Troia, avlanmayı bekleyen verileri bulduktan sonra bu keşfini hemen FBI’a bildirdi. Troia’nın bildirisinden birkaç saat sonra FBI, internette dolaşan verileri çevrimdışı yapmak için sunucuyu kapattı. FBI tarafından ise olayla ilgili herhangi bir açıklama yapılmadı.
Veriler etiketlenmişti:
Troia’nın keşfettiği veriler bir arada toplanmış dört veri setinden oluşuyordu. Bunlardan üçü San Francisco’da bulunan People Data Labs’den (PDL) gelmiş olarak etiketlenmişti. PDL, kendi sitesinde 1,5 milyardan fazla insanın verisini satılık olarak lanse ediyor.
People Data Labs, satılık verilerin yanında bir milyondan fazla kişisel e-posta adresini, 420 milyondan fazla LinkedIn URL’sini, bir milyardan fazla Facebook URL’sini ve kimliğini ve 400 milyondan fazla telefon numarasını da bünyesinde saklıyor.
Olayla ilgili açıklama yapan PDL kurucu ortağı Sean Thorne, şirketinin açığa çıkan verileri barındıran sunucunun sahibi olmadığını söyledi. Vinny Troia’da verileri inceleme fırsatı bulduğu için PDL’in haklı olduğunu düşünüyor. Ancak ortada bir soru hâlâ cevaplanamıyor: Veriler nasıl toplandı?
PDL, kendisinden alışveriş yapan müşterilere yalnızca verileri sunuyor, verilerin güvenliğini sağlamak müşteriye bağlı oluyor. Peki PDL’e izinsiz erişim sağlanmış olabilir mi? Troia’ya göre bu da olasılıklar arasında yer almıyor. Çünkü şirketten veri satın almak, izinsiz erişim sağlamaktan çok daha kolay.
Üç veri setinin dışında diğer veri seti ise ‘OXY’ olarak etiketlenmişti. Vinny Troia, bu etiketin ABD’li veri sağlayıcısı Oxydata’ya ait olabileceğini düşünüyor. Oxydata, dünya çapında 195 ülkeden ve 85 endüstriden 380 milyondan fazla çalışanın ve tüketicinin verilerini bulunduruyor. Bu verilerin toplam boyutu ise 4 terabayt.
Vinny Troia ve arkadaşı Diachenko, PDL ve Oxydata’dan elde edildiği tahmin edilen verileri karşılaştırmışlar. Karşılaştırma sonucunda ise her iki kaynağın da birbirine muhteşem bir şekilde uyduğunu görmüşler. Troia’nın Oxydata verisi LinkedIn profilinin kopyasını içerirken PDL profili 10 yıl önce aldığı telefon hattını bile içeriyormuş.
Ancak Oxydata kurumlararası satış yöneticisi Martynas Simanauskas, şirketin herhangi bir izinsiz girişimle karşılaşmadığını söyledi. Martynas ayrıca şirketinin sağladığı verilerin ‘OXY’ etiketiyle etiketlenmediğini de aktardı. Ancak verilerin bir müşterilerinden alınmış olabileceğini söyledi. Tabii verilerin nasıl alındığının kesin açıklamasının olmadığını biz de bir kez daha söyleyelim.
Her iki veri sağlayıcısı da aslında sattıkları verilerin müşterileri tarafından kötü kullanılmış olabileceğini söylüyor. İşte tam olarak bu bahsedilen şey de veri alım satım endüstrisinin bir başka problemini gözler önüne seriyor. Bu alışverişlerde görünüşe göre güvenlik ve gizlilik sağlanmıyor.
İçinizi bir nebze de olsa rahatlatmak için birkaç şey söyleyebiliriz. Verilerin internette dolaşıyor olması, bir hackerın bu verilere hemen erişmiş olduğu anlamına gelmiyor. Fakat bu tür verilerin ortada güvensiz bir biçimde dolaşıyor oluşu ve bunun muhtemelen tek örnek olmadığı gerçeği aklımızdan çıkmıyor.
