Hacklenen sadece eBay mi?
Fotoğraf: Envato
İki gün önce, 22 Mayıs’ta, dünyanın en büyük alışveriş sitelerinden Ebay, bir açıklama yaparak hacklendiklerini duyurdu ve 145 milyon kullanıcısından şifrelerini değiştirmesini istedi. Olayın buraya kadarki kısmı her hangi bir şirket hacklendiği zaman yapılan sıradan bir rutin açıklama, ancak meselenin altını biraz eşelediğimize ürkütücü bir tablo ortaya çıkıyor. Ebay’dan yapılan açıklamaya göre şifrelenmiş parolalar ile finansal olmayan veritabanı hackerlar tarafından şubat ve mart aylarında çalındı. Ebay ise bunu iki hafta önce fark etti. Durumun kullanıcılara bildirilmesi ise daha yeni… Ebay’ın bilgilerin çalındığını fark eder etmez meseleyi duyurması gerekirdi. En azından kullanıcısını düşünen her hangi bir sitenin tavrı bu olmalıydı. Ancak duyuru için iki hafta beklendi. Dolayısıyla atı alanın Üsküdar’ı geçmiş olma olasılığı bir hayli yüksek. Ve bunun için finansal veritabanını çalmaları da gerekmiyor.
Üstüne bir de Ebay’ın açıklamasının ortalama kullanıcıya güvenli gözükmeye çalışan yanları var: ‘Şifrelenmiş parolalar’ ve ‘finansal olmayan veritabanı’. Parolalar ‘şifrelenmiş’ olup, ‘finansal’ veri tabanı da çalınmayınca kullanıcılar güvende mi oluyor yani?
Site yöneticileri, çalışanları ve sisteme sızanların parolaları doğrudan görebilmesinin ve benzer bazı diğer tehlikelerin önüne geçmek üzere genel bir güvenlik düsturu olarak öz saygısı olan hemen hemen her site kullanıcı parolalarını MD5 ve benzeri hash[0] algoritmaları ile geri-dönüşümsüz bir biçimde tek yönlü olarak hashleyerek tutar. Kullanıcı şifresini girdiğinde, şifre aynı algoritmadan geçirilir ve sonuç kaydedilmiş sonuç ile karşılaştırılarak kullanıcıya giriş izni verilir. Sistem ortalama kullanıcıya güvenli gözükse de gerçek böyle değil. Eğer yaygın kullanılan bir hash fonksiyonu kullanılıyorsa Internet’te kolayca bulunabilen hash tabloları yardımı ile parola kolayca ele geçirilebilir. Ayrıca parolanın parola bilinmese dahi hashli halinin giriş yapmak için doğrudan sunucuya gönderilmesi de mümkün. Bildiğiniz ve çoğunuzun da yaptığı üzere ortalama kullanıcı ya her sitede aynı şifreyi kullanır ya da en fazla birkaç şifresi vardır. Dolayısıyla bu şifrelerden her hangi birinin ele geçirilmesi sadece hacklenen sitedeki hesabı değil kullanıcının birçok hesabını etkileyebilir.
Ele geçirilen ‘finansal olmayan veritabanı’ ise e-posta adresleri, fiziksel adresler, doğum tarihleri, telefon numaraları ve çeşitli kişisel bilgileri içeriyor. Bu ‘finansal olmayan veritabanı’ ile neredeyse her hangi birinin adına sahte bir kimlik oluşturarak bunu finansal işlemlerde kullanmak, eldeki bilgilerden yararlanarak çeşitli sitelerdeki hesaplarına ve bilgilerine ulaşmak çok da zor işler değil.
Ebay’ın hacklenmesi ile birlikte ortalama kullanıcı alışkanlıklarını da göz önünde bulundurduğumuzda risk altında olan sadece Ebay hesapları değil. Bilgileri ele geçirilen 145 milyon Ebay üyesinin tüm kimlikleri tehlikede.
[0] Hash fonksiyonu: Hash fonksiyonu, değişken uzunluklu veri kümelerini, sabit uzunluklu veri kümelerine haritalayan algoritma
- İşlevini arayan alet: Yapay zekâ 20 Nisan 2024 04:45
- Masaüstü işletim sistemlerinin geleceği ve Linux 13 Nisan 2024 04:35
- XZ arka kapısı ve açık kaynağın zaafları 06 Nisan 2024 04:53
- Veri yağmacıları 16 Mart 2024 04:34
- Yapay zeka ve sihirbazlar 09 Mart 2024 05:07
- Verileriniz sermayeye feda olsun! 02 Mart 2024 05:40
- Geniş dil modelleri ve olağan hataları 24 Şubat 2024 04:09
- Apple’ın AB’ye misillemesi PWA’ların sonu mu? 17 Şubat 2024 04:43
- Disney, oyunlar ve at zırhı 10 Şubat 2024 04:19
- Open AI fikri mülkiyete karşı 13 Ocak 2024 04:44
- Yapay zekanın belirsiz geleceği 06 Ocak 2024 04:00
- Yapay zekada telif kavgası: Tekeller tekellere karşı 30 Aralık 2023 04:47