Bir siber korsanın Facebook'tan çaldığı 533 milyon kullanıcıya ait veriyi Telegram üzerinden satmaya çalıştığı iddia edildi.
İsrailli siber güvenlik şirketi Hudson Rock'ın kurucularından Alon Gal, Telegram üzerinden Facebook kullanıcılarının verilerinin satışa çıkarıldığını iddia etti.
Gal'e göre, Facebook’ta 2019 yılındaki güvenlik açığından faydalanan bir siber korsan, 533 milyon telefon numarasının yer aldığı veri tabanını ele geçirdi. Ardından bu verileri 12 Ocak 2021'de Telegram üzerinden satışa çıkardı. Telefon numarası başına 20 dolar talep edilirken 10 bin tane telefon numarasına sahip olmanın bedeli ise 5 bin dolar.
Telefon numaralarının ABD, Kanada ve İngiltere’nin de aralarında bulunduğu 15 ülkeden kullanıcılara ait olduğu belirtiliyor.
İddiaya göre, geliştirilen bot yazılım ile Telegram uygulaması üzerinden, Facebook kullanıcısının kimlik bilgileri ve telefon numarasına erişilebiliyor. Konuyla ilgili Facebook ve Telegram’dan henüz bir açıklama yapılmadı.
Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir, 12 Ocak 2017'den bugüne kadar yapılan 7 bin 467 ihbar ve şikayet başvurusundan 5 bin 489'unun karara bağlandığını, ihlaller nedeniyle yaklaşık 36 milyon lira idari yaptırım uygulandığını bildirdi.
Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir, 28 Ocak Uluslararası Veri Koruma Günü ve kişisel verilerin korunmasına ilişkin açıklamalarda bulundu.
Kişisel verilerin korunmasıyla ilgili uluslararası bağlayıcı nitelikteki ilk belge olan 108 sayılı Sözleşme'nin 28 Ocak 1981'de imzaya açıldığını hatırlatan Bilir, sözleşmeyi ilk imzalayan ülkeler arasında Türkiye'nin de bulunduğunu belirtti.
Faruk Bilir, Avrupa Konseyinin 28 Ocak'ı Uluslararası Veri Koruma Günü ilan ettiğini hatırlattı.
Uluslararası Veri Koruma Günü kapsamında bugün, "Veri Temelli Ekonomi", "Dijital Çağda Kişisel Verilerin Korunması" ve "Kişisel Verilerin Korunması Alanında Güncel Gelişmeler" başlıklarında üç oturumdan oluşan program düzenleneceğini anlatan Bilir, programın YouTube üzerinden yayınlanacağını söyledi.
Kişisel verinin kişiyi tanımlayan bilgiler olduğunu ifade eden Bilir, verilerin Kişisel Verilerin Korunması Kanunu'ndaki ilkelere uygun işlenmesi gerektiğini, veri işlemeyi yasaklamayan bu düzenlemenin özgürlükçü bir yasa olduğunu dile getirdi.
Verilerin, işleme şartlarına, temel ilkelere, aydınlatma yükümlülüğüne uygun şekilde işlenebileceğini bildiren Bilir, işlenmesini gerektiren sebeplerin ortadan kalkması ya da mevzuattaki sürenin dolması durumunda ise verilerin silinmesi ve yok edilmesi gerektiğini aktardı.
Kişisel verilerin korunmasına yönelik uyarı ve tavsiyelerde bulunan Bilir, akıllı cihazlarda kullanılan uygulamaların hangi kişisel verilere erişim izni istediğinin kontrol edilmesinin zorunluluğuna işaret etti.
Bilir, vatandaşların, verilerin aktarıldığı üçüncü kişileri ve verilerin aktarılma amacını bilme hakkına sahip olduğunu, veri sorumlularının da kişisel verilerin kimlere ve hangi amaçla aktarılacağı konusunda bilgi verme yükümlülüğünün bulunduğunu anlattı.
- "Açık rızanın hizmet şartına bağlanması açık rızayı sakatlayan durumdur"
Kişisel Verilerin Korunması Kanunu'yla önemli düzenlemelerin hayata geçirildiğini vurgulayan Bilir, kişinin sahip olduğu verinin işlenmesine, kendi isteğiyle ya da karşı taraftan gelen istek üzerine onay vermesi anlamını taşıyan "açık rıza"nın unsurlarının da kanunda yer aldığını ifade etti.
Faruk Bilir, şunları kaydetti:
"Açık rızanın hizmet şartına bağlanması açık rızayı sakatlayan durumdur. Hizmet şartına bağlama özgür iradeyi sakatlamaktadır. Çünkü eğer o şart olmasaydı kişi daha farklı davranabilirdi. Kişiye açık rızada, özgür irade olabilmesi için seçme şansı verilmelidir. Bir şart dayattığınız zaman bu hizmet şartına bağlanmış olur. Yapacağı seçimin sonuçları kişiyi etki altında bırakıyorsa, onu sunulan ürün veya verilen hizmetten yoksun bırakıyorsa, rızanın özgürce verildiğini söylemek mümkün değildir. Vatandaşlarımız, veriler işlenmeden önce sunulan gizlilik ve güvenlik politikalarını, aydınlatma metinlerini okumalı ve incelemeli. Açık rızayla hangi verilere erişimin istendiği de sorgulanmalı."
Kurumun karar organı Kişisel Verileri Koruma Kurulunun çalışmalarına da değinen Bilir, kurulun 12 Ocak 2017'den itibaren çalışmaya başladığını anımsatarak şöyle devam etti:
"Bugüne kadar kurula 7 bin 467 ihbar ve şikayet başvurusu yapıldı, bu başvurulardan 5 bin 489'u sonuçlandırıldı. Kurulun ihlaller nedeniyle yaptırım olarak idari para cezası uygulama yetkisi var. Bugüne kadar yaklaşık 36 milyon lira idari yaptırım uygulandı. Herhangi bir şirkette, veri sorumlusu bünyesinde veri ihlali meydana geldiği durumlarda da kurula bildirimde bulunuluyor. Bugüne kadar 402 veri ihlal bildirimi yapıldı, kurul bu ihlallerden 72'sini internet sitesinden ilan etti. Ayrıca kuruldan 489 hukuki görüş talep edildi."
Küresel hacker ağı Emotet, altı Avrupa ülkesi tarafından gerçekleştirilen ortak bir operasyonla çökertildi.
Uluslararası kolluk kuvvetleri tarafından gerçekleştirilen operasyonda, dünya çapındaki işletmeleri milyarlarca dolar zarara uğrattığı iddia edilen bilgisayar korsanlığı ağının tamamıyla çöktüğü belirtildi.
Küresel hacker ağı Emotet'i ortadan kaldırmak için gerçekleştirilen operasyona Fransa, Almanya, Litvanya, Hollanda, Ukrayna ve Birleşik Krallık polisi katıldı. ABD, Kanada ve Europol de operasyona destek verdi.
VERDİĞİ ZARAR 2.5 MİLYAR DOLAR
Almanya federal polis teşkilatının yaptığı açıklamada, "Emotet şu anda küresel olarak en tehlikeli kötü amaçlı yazılım olarak görülüyor. Emotet altyapısının parçalanması, uluslararası organize internet suçlarına karşı gerçekleştirilen önemli bir darbedir" ifadeleri kullanıldı.
Küresel olarak işleyen ağın ABD'de ve birkaç Avrupa ülkesinde, bankalara yönelik gerçekleştirdiği korsan saldırılarda şu ana kadar 2.5 milyar dolar zarara neden olduğu tahmin ediliyor.
WhatsApp sözleşmesi bizi bir alternatif seçmeye zorladı : Telegram mı Signal mi?
Telegram Messenger ve Signal arasında ne fark var? Telegram Messenger mı kullanalım Signal mi diye düşünenler için güvenlik özelliklerini karşılaştırdık.
WhatsApp alternatifi olarak Telegram mı Signal Mi?
TELEGRAM
Whatsapp alternatifi olarak değerlendirebileceğimiz uygulamaların başında Telegram geliyor ve şu anda Türkiye’de Google Play ve AppStore verilerine göre en fazla indirilen mesajlaşma uygulaması oldu. 400 milyon kullanıcısı ile WhatsApp’ın kullanıcı sayısından çok çok düşük olsa da kullanıcı sayısı WhatsApp’ın yeni sözleşmesi nedeniyle büyük bir hızla artıyor. (Sözleşme incelemesine WhatsApp sözleşmesi ile hayatımızda ne değişiyor? yazısından erişebilirsiniz.)
Telegram’ın güvenlik açısından en sorunlu özelliği uçtan uca şifreleme için “secure chat” yani “gizli sohbetler” yapılması gerekmesi.
Kısaca “gizli sohbetler” özelliğiyle yalnızca siz ve alıcı bu mesajları Telegram’da okuyabiliyor. Telegram’ın kendisi de dahil olmak üzere başka hiç kimse onları deşifre edemiyor.
Telegram “gizli sohbet”lerin bir güzel özelliği mesajların gizli sohbetlerden iletilememesi ve sohbetteki bir mesajı silindiğinde, gizli sohbetin diğer tarafındaki uygulamanın da mesajı silmesinin istenmesi.
Telegram’ın kendi sayfasında (https://telegram.org/faq) “Telegram’da, İnternet gizliliğinin en önemli iki bileşeninin bunların yerinde olması gerektiğini düşünüyoruz: * Özel konuşmalarınızı yetkililer, işverenler gibi üçüncü tarafları gözetiminden korumak. * Kişisel verilerinizi pazarlamacılar, reklamverenler gibi üçüncü taraflardan korumak.” Şeklinde bir beyanları bulunuyor.
Ancak gizli sohbet seçeneği kullanılmadığında mesajların uçtan uca şifreleme dahilinde olmadığını da bilmek gerekiyor. Telegram’ın en sevilmeyen özelliği olarak “varsayılan olarak etkin olmayan (WhatsApp’ta ve Signal’de bulunan) ve normal sohbetlerde bulunmayan uçtan uca şifreleme sorunu” diyebiliriz.
Telegramda normal sohbetlerde uçtan uca şifreleme olmaması ne anlama geliyor?
Mesajların cihazınızda şifreleneceği ve ardından şifrelerinin Telegram sunucusunda çözüleceği anlamına gelir. Yine, mesajlar sunucuda şifrelenir ve son şifre çözme için alıcının cihazına gönderilir. Bu süreçte, Telegram sunucu tarafında şifreleme anahtarlarına sahiptir ve teorik olarak normal sohbetlerinize erişebilir.
İçimizi rahatlatabilecek bir nokta ise Telegram’ın mesaj depolama ve şifre çözme anahtarlarını, verilerinizden herhangi birine erişebilmek için dünyanın dört bir yanındaki birden fazla hukuk sisteminden mahkeme emri gerektirecek şekilde yönettiğini belirtmesi. Aslında şirket, bu tarihe kadar üçüncü şahıslar ve hükümetlerle 0 bayt veri paylaştığını söylüyor.
Gizli sohbetler kullanıyor olsanız bile Telegram, mesajlarınızı şifrelemek için kendi tescilli şifreleme protokolü olan MTProto’yu kullanıyor. Bu protokol ise açık kaynak bir protokol olmadığı için güvenlik araştırmacıları tarafından durumu doğrulanamıyor. Bu nedenle, güvenlik araştırmacıları, Signal protokolü gibi açık kaynaklı ve yaygın olarak güvenilen bir protokol kullanmanın, Telegram’da özel bir kapalı kaynaklı şifreleme protokolü kullanmaktan daha iyi olacağına inanıyor.
Bir diğer önemli nokta Telegram’da sadece tek kullanıcı ile iletişimin uçtan uca şifrelenebilmesi. Yani gruplarınız için “gizli sohbet” imkânı bulunmuyor.
Son bir Telegram güvenlik sıkıntısını daha ekleyeylim: Telegram’ın masaüstü istemcisi, macOS dışındaki herhangi bir platformda E2E şifrelemesini desteklemez.
Açıkça anlaşılabileceği üzere, Telegram’ın güvenliği WhatsApp ve Signal Messenger’ın güvenliği kadar güçlü değil.
SIGNAL
Whatsapp alternatifi olarak değerlendirebileceğimiz diğer uygulama ise SIGNAL messenger.
Güvenlik söz konusu olduğunda SIGNAL açık ara en iyi seçenek.
Yukarıda belirtildiği gibi, Signal uçtan uca şifrelemeyi uygulamak için açık kaynaklı bir protokol kullanıyor bu da siber güvenlik araştırmacıları tarafından doğrulama yapılabilmesine olanak tanıyor. Ayrıca WhatsApp gibi, uçtan uca şifreleme Signal üzerindeki tüm iletişim biçimlerini kapsıyor.
WhatsApp mesajları ve aramaları şifrelerken (ki bu çoğu kullanıcı için yeterlidir), Signal bir adım daha ileri gidiyor ve meta verileri de şifreliyor. Kullanıcı gizliliğini her köşeden korumak için Signal, gönderen ve alıcı arasında iletişim kurmanın yeni bir yolunu tasarlamış. “Sealed Sender” olarak bilinen bu uygulama sayesinde kimin kime mesaj gönderdiğini hiç kimse – Signal bile – bilemiyor.
Bunlar yetmezmişçesine Signal’de mesajlaşma deneyimini daha da özel ve güvenli hale getirecek bazı inanılmaz gizlilik özellikleri bulunuyor. Örneğin, Signal’i bir şifre veya biyometri ile kilitlemek mümkün. 2FA (İki kademeli kimlik doğrulama) ve screenshot (ekran görüntüsü alma) engelleme seçeneği var.
Signal varsayılan olarak tüm yerel dosyaları 4 basamaklı bir parola ile şifreliyor. Ve şifreli bir yerel yedekleme oluşturmak istiyorsanız, bunu da yapabiliyorsunuz. Uygulama artık şifreli grup çağrılarını da destekliyor.
Sonuç olarak eğer en güvenli mesajlaşma uygulamasını arıyorsanız cevap belli: SIGNAL güvenlik yarışını çok önde kazanıyor.
Hayatımızdan WhatsApp’ı silmek bir anda kolay olmayacak çünkü 2 milyar aktif kullanıcısı ile aşağı yukarı tanıdığımız herkes bu uygulamayı kullanıyor. Telegram tercih etmenin bir nedeni 400 milyon kullanıcı ile bunu Telegram’ın takip etmesi olabilir. Signal ise 10-20 milyon arası kullanıcı sayısı ile 3. sırada geliyor ancak önümüzdeki günler neler gösterecek göreceğiz.
Şimdilik çoğu kişi hem Telegram hem Signal mesajlaşma uygulamalarını yüklüyor.
* Whatsapp güvenlik zafiyetleri ile ilgili daha önce yazmış olduğumuz yazılara göz atmak istersenizburadanerişebilirsiniz.
WhatsApp sözleşmesi nedir? WhatsApp sözleşmesi ile ne değişiyor?
WhatsApp sözleşmesi son günlerin en sık konuşulan ve tartışılan konularından biri haline geldi.
Konuyu bilmeyenler için WhatsApp sözleşmesi değişti ve kullanıcılara 8 Şubat 2021’e kadar süre verildi. Bu tarihe kadar yeni hazırlanan sözleşmenin kabul edilmesini mecburi kılıyor aksi halde uygulamayı kullanmak mümkün olmayacak yani hesaba erişim sağlanamayacak.
Bazılarımız çoktan Telegram ya da Signal kullanmaya geçti, bazılarımız uzun zamandır herkesin kullandığı ve hayatımıza nasıl olduğunu anlamadan yerleşmiş olan WhatsApp uygulamasını kullanmaya devam ediyor.
İki farklı görüş var:
Saklayacak neyim var?
Zaten tüm verilerimize bir şekilde erişmiyorlar mı?
Her ikisi için de “haklısınız” demek mümkün. Saklayacak bir şeyiniz olmayabilir ve hepimizin bildiği gibi internete açık verilerimizi tam anlamıyla “gizli” hale getirmek zaten mümkün değil.
Ancak, bu kısım önemli: WhatsApp’ın bizlere dayatmış olduğu güncelleme ile gelen sözleşmede yer alan “Facebook şirketlerinin bir parçası olan WhatsApp, diğer Facebook şirketlerinden bilgi alır ve bu şirketlerle bilgi paylaşımında bulunur.” ibaresine dikkat etmek gerekiyor.
WhatsApp sözleşmesinde “Hizmetlerimizin ve Facebook şirketi ürünleri dahil bu şirketlerin sunduğu olanakların yürütülmesi, sunulması, iyileştirilmesi, anlaşılması, özelleştirilmesi, desteklenmesi ve pazarlanması amacıyla bu şirketlerden aldığımız bilgileri kullanabiliriz ve bu şirketler de bizim onlarla paylaştığımız bilgileri kullanabilirler.” denilmiş. Bu maddeyi özetlemek gerekirse “verilerinizi toplarız, saklarız, ister satarız ister kullanırız” deniliyor.
WhatsApp’ın verilerimizi “kullanılabilir” hale getirmesinin ise farklı sonuçları olabilir.
Örneğin eğer WhatsApp’ta sadece yazışmıyor, ses kayıtları, fotoğraflar, videolar, dokümanlar, IBAN numaraları ve daha akla gelmeyen birçok şey paylaşıyoruz. Bu sözleşme ile bunların da legal olarak kullanım hakkını devretmiş oluyoruz.
WhatsApp’ın sık kullandığımız özelliklerinden bir tanesi de konum gönderimi ve anlık konum paylaşımı. Yeni sözleşme ile konumlar da artık Facebook ve bağlı kuruluşlarının hizmetine giriyor.
WhatsApp üzerinden konuştuğunuz kişileri de bir düşünün: Mali müşaviriniz, avukatınız, doktorunuz, diyetisyeniniz. Sadece ailemiz ve arkadaşlarımız ile değil, hayatımızdaki hemen herkes ile WhatsApp üzerinden iletişim kuruyor ve kendimizle ilgili bilgileri paylaşıyoruz. Bu bilgilerin “gizli” olması gerekmiyor, önemli olan “size ait” olmaları ve WhatsApp sözleşmesi ile artık Facebook’a da ait olacak hale gelmeleri.
WhatsApp sözleşmesi ile hangi verileriniz toplanabilir ve kullanılabilir?
Bu liste uzun ancak önemli bir kısmına maddeler halinde bakalım:
Hesap bilgileriniz
Mesajlarınız
Bağlantılarınız
Durum Bilgisi
İşlem ve Ödeme Verileri
Kullanım ve Kayıt Bilgileri
Cihaz ve Bağlantı Bilgileri
Konum Bilgileri
Çerezler
WhatsApp sözleşmesi sonuçları ne olabilir?
WhatsApp ile iletilen ve yukarıdaki maddelerde yer alan tüm verileriniz herhangi bir mecrada (mahkeme, iş başvurusu, okul başvurusu, reklam içerikleri vb.) kullanılabilir. Üstelik konu sadece Facebook ile de sınırlı değil, açıkça tüm Facebook şirketleriyle paylaşılabileceği ve Facebook’un da istediği üçüncü taraf şirketleri ile paylaşabileceği belirtiliyor.
Bildiğiniz gibi Mark Zuckerberg, Cambridge Analytica davası nedeniyle mahkemede soğuk terler dökmüştü. Facebook’un 2014 yılında toplamaya başladığı yaklaşık 87 milyon Facebook kullanıcısına ait kişisel verilerin politikacılar adına seçmenlerin fikrini etkilemek için kullanıldığı ortaya çıkmıştı. Ekim 2018’de, İngiltere’nin Veri koruma izleme örgütü, Cambridge Analytica skandalındaki rolü nedeniyle Facebook’a 500.000 £ (5 milyon TL) para cezası verdi ayrıca kullanıcıların kişisel davalar açtığı da biliniyor.
Zuckerberg, WhatsApp sözleşmesi ile bir daha böyle bir mahkeme ya da para cezaları ile karşılaşmamayı garanti altına alıyor.
Şu an için WhatsApp’a iki ciddi alternatif görülüyor: Telegram Messenger ve Signal uygulamaları.
Geçtiğimiz günlerde Elon Musk bir tweet atarak herkesi Signal kullanmaya davet etti ancak Telegram hem AppStore hem de Google Play’deTürkiye’de en çok indirilen mesajlaşma uygulaması haline geldi bile.
WhatsApp uygulaması AppStore’da 3. Sıraya gerilerken Google Play’de de yerini Telegram’a bırakarak 2. Sıraya düştü.
Telegram’ın sıkça sorulan sorular sayfasınahttps://telegram.org/faqadresinden erişebilirsiniz. Signal ile ilgili bilgi almak için isehttps://signal.org/tr/adresini ziyaret edebilirsiniz.
Yeni gizlilik sözleşmesi güncellemesi ile WhatsApp bir anda ülke gündemine oturdu. Alternatif uygulamalar indirme rekoru kırarken, akıllarda hangisine neden güvenelim sorusu var.
Yeni kullanıcı sözleşmesi ile gündeme damga vuran WhatsApp artık popülaritesini en azından şimdilik alternatif uygulamalarla paylaşıyor. Mesajlaşma uygulamaları arasında Telegram ve Signal öne çıkıyor.
Öyle ki bu iki alternatif uygulama iOS’ta yer alan App Store’da en popüler ücretsiz uygulamalar arasında ilk üçte yer alıyor. Bir dönem derdini kıt kanaat SMS ile anlatmaya çalışan bizler, bir şekilde bir sürü mesajlaşma uygulamasının içine düştük…
WhatsApp bizlere yeni şartları kabul etmemiz için 8 Şubat’a kadar süre tanırken bu hamle; “dayatma” olarak görülüp tepki çekmesinin yanı sıra kullanıcılarının verilerinin işleneceği anlamına gelmesiyle de endişe yaratıyor. Peki alternatif uygulamalarda durum ne?
TELEGRAM
Yeni WhatsApp sürümünden kaçanların ilk adresi Telegram oldu. Zaten elbette WhatsApp kadar olmasa da geniş bir kitleye sahip olan Telegram, 2013’te Rus programcı Pavel Durov tarafından kuruldu. Kendisine Mark Zuckerberg’ün Rus versiyonu demek teşbihte hataya düşmek olmaz sanırım. Zira Durov, ağırlıklı olarak Rusya’da ve eski SSCB ülkelerinde kullanılan Facebook benzeri VK’nın da kurucusu. Telegram, bugüne kadar hükümetler de dahil olmak üzere hiçbir 3. partiyle veri paylaşmadığını iddia ediyor.
SIGNAL
Signal, Elon Musk’ın tavsiye ettiği mesajlaşma uygulaması olarak biliniyor. WhatsApp, Facebook tarafından satın alındıktan üç yıl sonra istifa eden Brain Acton’ın kurucu ortağı olduğu Signal, açık kaynaklı bir uygulama olarak dikkat çekiyor ve uçtan uca şifreleme yaparak kullanıcılarının yazışmalarını güvence altına aldığını söylüyor.
UÇTAN UCA ŞİFRELEME
Uçtan uca şifreleme, sadece uç noktadaki kullanıcıların (yani sadece mesajı gönderen ve mesajı alanın) okuyabildiği bir iletişim sistemidir. Hedefi; internet sağlayıcıları ve ağ yöneticileri gibi aradaki potansiyel gizli dinleyicilerin, şifreyi çözmek için gereken anahtarlara erişmesini engellemektir.
Uçtan uca şifreleme önemli zira son güncelleme ile WhatsApp konusunda yaşanan korkunun temelinde “Konuşmalarımız üçüncü şahıslarla, hükümetlerle, şirketlerle mi paylaşılacak” düşüncesi yatıyordu. Elbette WhatsApp daha doğrusu Facebook’un dayatmacı tavrı da tepki çekerken mahremiyet ihlali başlıca endişe olarak öne çıkmaktaydı.
WhatsApp içindeki mesajlarınız, görüntülü veya sesli görüşmeleriniz, fotoğraflarınız ve karşı taraf ile paylaştığınız tüm dosyalar şifreleniyor. Yani teknik olarak siz ve mesajlaştığınız kişi dışında kimse bunları göremez. WhatsApp mesajlarınızı okuyamıyor lakin kiminle ne sıklıkla ve nerede mesajlaştığınızı, hangi ağlara bağlandığınızı, cihazınızın özellikleri gibi verileri işleyerek paylaşacak. Aslında zaten bunları paylaşan WhatsApp durumu sözleşmeye dökmüş oldu.
Tabii ki uçtan uca şifreleme yöntemiyle gizlenen konuşmalarınızın da bir noktada eskisi gibi gizlenmemesi mümkün bilemeyiz ancak teoride WhatsApp mesajlaşma içeriği açısından oldukça güvenli.
AÇIK KAYNAK KODLU YAZILIM
Açık kaynak kodlu yazılımda kaynak kodun telif hakkı sahibi, yazılımın kullanım, inceleme, değiştirme ve dağıtım haklarını dileyen herkese, hangi amaçla olursa olsun sunmakta. Firefox, Chrome, Android, Open Office ve Linux tabanlı işletim sistemleri açık kaynak kodlu yazılımlar olarak öne çıkarken; özel mülk yazılımlara ise Microsoft Office, Windows, Mac Os, iOS Photoshop gibi pek çok yazılım örnek gösterilebilir.
Mesajlaşma uygulamalarının geçmişte de konuşmalarımızı okuyor olduğu büyük bir problemdi ancak 2013’te aktivist ve şifreleme uzmanı Moxie Marlinspike “Signal Protocol” adlı şifreleme protokolü adeta devrim niteliğinde bir adım olarak tarihe geçti. Uçtan uca şifreleme olarak da bilinecek olan bu sistemde konuşma ve sohbet içeriği sadece iletişimi kuran iki kişinin cihazında kalıyor. Güvenilirliği defalarca ispatlanmış olan sistem “TextSecure” ve “RedPhone” uygulamalarından sonra Signal adlı uygulamayla teknoloji optimum bir şekilde sahne almaya başladı.
YOLLAR KESİŞTİ!
2016’da ise WhatsApp, Moxie ve ekibine ulaşarak bu Signal Protokolü’ne geçmek istediklerini belirtti. Bizzat Moxie’nin ekibi söz konusu protokolü başarılı bir şekilde uygulamaya entegre etti. Burada Brian Acton ve Moxie Marlinspike’ın yolları keşişti. Facebook yönetiminin WhatsApp üzerinden para kazanma isteği ve bu yönde atılan adımların da etkisiyle Acton kurucusu olduğu şirketten istifa etti. Signal’de Moxie Marlinspike’ın ortağı oldu. 21 Mart 2018’de ise “Zamanı geldi. #FacebookuSil” paylaşımında bulundu.
TELEGRAM HANGİ NOKTADA?
Telegram, Signal Protokolü’nü değil kendi geliştirdiği MTProto’yu kullanıyor. Uygulama içinde “Gizli Sohbet Başlat” seçeneğine tıkladığınızda ancak devreye giren bu şifreleme, açık kaynaklı olmadığından güvenlik araştırmacıları tarafından test edilemiyor. Burada devreye güven girmekte. WhatsApp’ın da beyanı üzerine bu noktada uçtan uca şifreleme kullandığını biliyoruz. Yani son gelişmeler ışığında geçiş yapan kitle, WhatsApp’a değil artık Telegram’a güvenmek durumunda. Veya teoriler geliştirip Signal’in de aslında o kadar güvenli olmadığını öne sürebilirsiniz!
Burada en doğru olan tüm uygulamaları bilinçli kullanmak olsa gerek. Ürünün kullanıcılar olduğu bedava hizmetlerde kendimizi tamamen ürün konumuna düşürmemek için hangi uygulama olursa olsun mümkün olduğu kadar dikkatli bir kullanıcı olmaya çalışmakta fayda var.
KİM HANGİ BİLGİLERİ İSTİYOR?
Signal telefon numarası bilgisini istiyor. WhatsApp ise en talepkar uygulamalar olarak öne çıkıyor. Öte yandan güvenlik açısından adı geçen üç uygulama da (Telegram'da sadece gizli sohbetlerde olmakla birlikte) uçtan uca şifre teknolojisine sahip olduklarını öne sürüyor.
Telefon dolandırıcıları İstanbul’da yaşayan Gültekin'e ait sanal kartın bilgilerini ele geçirdi. Üç dakika içinde Gültekin’in hesabından 19 bin liralık iki cep telefonu alan şüphelilerin gerçekleştirdikleri vurgunun yöntemi ise şaşırttı
Dolandırıcılık şebekesi 22 Aralık günü diş hekimi Zafer Gültekin'in (58) GSM numarasına bir SMS gönderdi. SMS, Gültekin’in hesabının bulunduğu özel bir bankadan geliyormuş gibi kurgulanmıştı.
SMS’te, Gültekin’in, 800 liraya yakın biriken kredi kartı aidatının iadesini alabileceği bilgisi yer alıyordu. Gültekin, SMS’te yer alan linke tıkladı. Karşısında, kendi deyimiyle, profesyonelce hazırlanmış çalıştığı bankanın sahte web sitesi çıktı.
ŞEBEKE ÜYELERİ TELEFONDA
Hürriyet'in haberine göre, açılan sayfaya Gültekin bir kısım kişisel bilgilerini ve kart bilgilerini girdi. Bu ilk işlemin üzerinden 8 gün geçti. Bu kez 30 Aralık günü Gültekin, 0850 ile başlayan bir numaradan arandı. Arayan kişi kendisini bankacı olarak tanıttı. Kişi, Gültekin’e özetle “22 Aralık’tan beri kredi kartınıza ilişkin şüpheli işlem girişi tespit ediyoruz. Kartınızla alışveriş yapılmaya çalışılıyor. Şimdi size göndereceğim şifreyi bizimle paylaşmanızı rica ederim” dedi. Tam bu esnada, şebekenin bir üyesi Gültekin ile konuşurken ikinci bir kişi de aynı saniyeler içinde Gültekin adına bankayı aradı. Bankayı arayan kişi, Gültekin’e ait kartın kapalı olan mail order sisteminin açılmasını istedi. Banka görevlisi, arayan kişinin Gültekin olduğunu düşünerek şifreleri kayıtlı GSM numarasına gönderdi.
Bu sırada, Gültekin ile konuşmaya devam eden şebeke üyesi, kendisine SMS olarak gönderdikleri şifrenin paylaşılmasını istedi.
ÖDEMENİN ACELESİ YOK
Üç dakika içinde Gültekin’e 6 haneli 2 ayrı şifre geldi. Şebeke üyesi, Gültekin’e “İşleminiz tamam. Kartı iptal ettirdim. Size 5 gün içinde yeni bir kart göndereceğiz” dedi. Gültekin, “Bankaya ödeme yapmam gerek. Bu durumda ne yapmalıyım” deyince, bankacı olarak konuşmayı sürdüren şebeke üyesi “Şimdilik ödeme yapmayın. Acelesi yok. Sorun çözülsün ödemenizi yaparsınız” dedi. Gültekin, karşılaştığı ilgiden memnun kalarak telefonu kapattı.
‘BANKANIN DA HATASI VAR’
Aynı günün akşamı internet bankacılığına giren Gültekin, gündüz düştüğü hatayı fark etti. Gültekin’in kredi kartı ile biri 11.899 TL, diğeri 6.499 liralık iki cep telefonu alınmıştı. Soluğu önceki gün savcılıkta alan Gültekin, Hürriyet’e yaptığı açıklamada ise “Burada banka da kusurlu. Banka, kayıtlı bir numaradan aramayan bu kişiden şüphelenmeliydi” diye konuştu.
ABD’nin siber savunması Rusya'nın hacker saldırılarını engelleyemedi mi?
Rusya'nın ABD hükümet sistemlerine yönelik son siber saldırıları, ABD hükümet ve özel sektör ağlarının saldırılara karşı zayıf olduğu uyarılarına sebebiyet verdi. Nitekim bu saldırıların nasıl gerçekleştiği, ABD siber savunma sistemlerinin saldırılar karşısında neden başarısız olduğu sorularını gündeme getirdi.
Yaklaşık 200 farklı federal kurum ve şirketin sistemlerine sızmayı başaran son saldırıların ABD Siber Komutanlığı (USCYBERCOM) ve Ulusal Güvenlik Dairesi (NSA) gibi devlet kurumları tarafından değil de siber güvenlik konusunda uzman FirEye şirketi (saldırıların bir diğer kurbanı) tarafından tespit edilmesi ise Washington’un endişesini artırıyor.
Söz konusu saldırılar; ABD istihbarat servislerinde, bunların yalnızca ABD bürokrarisi bir casusluk operasyonu olup olmadığı ya da yeni nesil nükleer silah geliştirmek ve transfer etmek için devlet kurumlarına, büyük şirketlere, elektrik şebekesine ve laboratuvarlara giriş yapmaya çalışmakla ilgili daha kötü bir girişim mi olduğu konusunda yaygın tartışmalara yol açtı.
New York Times gazetesine konuşan ABD’li müfettişler, USCYBERCOM ve Ulusal Güvenlik Teşkilatının (NSA) siber saldırıları tespit etmek için yabancı ağlara yerleştirdiği erken uyarı sensörlerinin açıkça başarısız olduğunu belirtti.
Saldırılara dair ilk araştırmalar, Rusya'nın Doğu Avrupa'ya saldırının gerçekleştiği SolarWinds şirketinin bazı programlarına ilişkin tasarılarını ortaya çıkardı. Nitekim ABD’li araştırmacılar, özellikle bu ülkelerdeki Rus istihbarat ajanlarının yoğun varlığı nedeniyle, saldırının oradan mı gerçekleştirildiğine dair incelemeler gerçekleştiriyor.
Şirketin şu anki ve eski çalışanları, gazeteye verdikleri demeçte, şirket müdürünün şirketin geçen yılki karını (2010 yılında 152 milyon dolar iken 2019’da 453 milyon dolar) üçe katlamak için masrafları nedeniyle yaygın siber güvenlik uygulamalarını görmezden gelme politikası izlediğini açıkladı.
Nitekim atılan bu adımlar, özellikle de mühendislik hizmetlerinin çoğunu Çek Cumhuriyeti, Polonya ve Beyaz Rusya'daki yan ofislere taşımasının ardından şirketi ve müşterilerini daha büyük bir saldırı riski altına sokmuş oldu. New York Times’ın yazdığına göre Ruslar, NSA veya İç Güvenlik Bakanlığının (DHS) özel sektör ağlarına girme veya bunları savunma yetkisine getirilen kısıtlamalardan yararlandılar.
Rusların siber saldırılarını gerçekleştirmede başarılı olmalarına yardımcı olan bir başka faktör de, SolarWinds şirketinin bazı program güncellemelerinden birine kendilerini de dahil etmeleri oldu. Bu durum, NSA tarafından devlet kurumlarına sunulan, kötü amaçlı yazılımlara karşı koruma görevi gören EINSTEIN algılama sisteminden gelen uyarıların devre dışı bırakılmasını sağladı.
DHS’nin ortaya çıkardığına göre, Moskova'nın kullandığı sızıntı kanalları, Microsoft yazılımları satan bir şirketin kullanımını da içeriyordu. DHS çalışanları ise saldırının daha önce keşfedilmemesi dolayısıyla ABD’li şirkete karşı öfkelerini dile getirdi. Mart ayında harekete geçen hackerlar, Teksas merkezli SolarWinds tarafından geliştirilen ve dünya çapındaki on binlerce şirket ve hükümet tarafından kullanılmakta olan bir güncelleme izleme yazılımından yararlandı.
ABD eski Başkanı Barack Obama yönetimi sırasındaki DHS baş siber yetkilisi Suzanne Spaulding, Rusya'nın bu saldırıları gerçekleştirmesi ardındaki stratejik hedeflerinin hala bilinmediğini belirtti. Aynı zamanda hedefin yeni yönetime baskı uygulamak ve onu herhangi bir misillemeden caydırmak olabileceğini vurguladı.
ABD merkezli teknoloji devi Microsoft, uğradıkları siber saldırıda, korsanların şirketin gizli tuttuğu kaynak kod depolarına sızdığını duyurdu.
İşletim sistemi veya bir yazılımın temelini oluşturan kritik nitelikteki kaynak kodlara erişiminin, sadece şirket değil, Microsoft kullanıcıları için de tehlike arz ettiği belirtiliyor. İddialara göre saldırının arkasındaki korsanlar, kaynak kodlara ulaşmak için SolarWinds adlı şirketin yazılımını kullandı. Aralık ayı boyunca gündemden düşmeyen, ABD şirketlerinin ve federal hükümet kurumlarının hedef alındığı saldırılardan SolarWinds şirketi sorumlu tutuluyordu. Kullanıcılar için şu an bir tehlike görülmüyor
Microsoft'tan yapılan açıklamada korsanların kritik kodların hangi kısımlarına ya da ne kadarına ulaştığıyla ilgili bilgi verilmedi.
SolarWinds yazılımının saldırı amacıyla oynanmış versiyonunu kendi sistemlerinde tespit ettiklerini daha önce duyuran Microsoft, kaynak kodlarla ilgili ilk kez açıklama yaptı. Firma, güvenlikten sorumlu personelin aralıksız çalıştığını ve kamuyla paylaşılması uygun görülen bilgilere ulaşıldıkça bilgilendirme yapılacağını duyurdu.
Microsoft'un aktardıklarına göre, kodlarda henüz bir oynama yapıldığı ya da kullanıcı bilgilerine ulaşıldığı tespit edilmedi. Yazılımcılara göre kaynak kodlara ulaşmak çok daha büyük saldırıların kapısını aralıyor.
Saldırı ile ilgili şu ana kadar elde edilen bulgular, Microsoft kullanıcılarının durumdan etkilenmeyeceğini gösteriyor. Geçen ay ABD'de, aralarında Ticaret, İç Güvenlik ve Savunma Bakanlıklarının da olduğu birçok hassas kuruma 'yabancı bir hükümete bağlı korsanlar' tarafından siber saldırılar yapıldığı bildirilmişti. Keza korsanların, ABD Enerji Bakanlığı ve nükleer silahlardan sorumlu Ulusal Nükleer Güvenlik İdaresinin ağlarına erişmiş olduğu da ortaya çıkmıştı. ABD Dışişleri Bakanı, SolarWinds saldırısı olarak adlandırılan olaydan Rusya'yı sorumlu tutuyor. Kremlin ise iddiaları yalanlıyor.
Teknolojik altyapı, dijital ortamda saklanan kişisel veriler artık dünyadaki en önemli hırsızlık tehdidini oluşturuyor
Hastalık bilgisi, kullanılan ilaçlar gibi tıbbi bilgiler de bu veri hırsızlığının hedefi olabilir ya da tamamen farklı bir nedenle değiştirilebilir. Kişiye özel bu veriler hem tıp etiği açısından hem de kanunen mahremiyet hakkı kapsamında değerlendiriliyor. Örneğin; cinsel yolla bulaşan bir hastalığa karşı ilaç kullanan kişi hakkında bilginin sızması özel hayatıyla ilgili ciddi sorunlara neden olabilir. Tabii mahremiyetin öneminin tek nedeni bu değil. Bireysel ve ulusal bir güvenlik de söz konusu burada. Yeni çıkan Kişisel Verilerin Korunması Kanunu ise bu konuda tüm kurumlara önemli sorumluluklar yüklüyor. Bunun içinde sağlık kuruluşları ise çok geniş bir yer tutuyor.
SAĞLIKTA KİŞİSEL VERİLERİN KORUNMASI NEDEN ÖNEMLİ?
Peki, sağlıkta kişisel verilerin korunması neden önemli? Bunu anlamak için öncelikle mahremiyet, özel hayatın gizliliği kavramı nedir? Neden gereklidir? Tüm bu konuları konu ile ilgili avukat dostlarımdan size aktarıyorum.
Yeni çıkan Kişisel Verileri Koruma Kanunu'nda (KVKK) da bu konunun detaylı şekilde geçtiğini belirten Av. Mehmet Murat Uğurlu’ya göre; ‘Kişisel veriler günümüzde petrolden, altından daha değerli konuma gelmiş durumda. Nitekim teknoloji çağında ne kadar çok kişisel veriye sahipseniz, o kadar güçlü konumdasınız. Veriler vasıtasıyla sizin ticari tercihleriniz, siyasi tercihleriniz dahi yönlendirilebilir. Bu durum akabinde kişisel verilerin önemi bir kez daha anlaşılmış, kişisel verilerin hukuki olarak da korunması gerekliliği ortaya çıkmıştır.
Bu kapsamda veri sahibine; kişisel verilerinin nelere aktarıldığı, ne amaçlarla kullanıldığı gibi konularda aydınlatma zorunluluğu getirildi. Bununla birlikte kişisel veri sahibi; kişisel verilerinin silinmesini, yok edilmesini talep etme hakkına sahiptir. Kişisel verilerin işlenmesi Kişisel Verilerin Korunması Hakkında Kanun’ da ayrıntılı olarak düzenlendiği gibi aynı zamanda Türk Ceza Kanunu’nda da cezai yaptırıma konu olan bir husustur’.
Kişisel verilerin, kanunda yer alan yükümlülükler ve şartlar yerine getirilmeden işlenmesi halinde veriler hukuka aykırı şekilde işlenmiş olacak ve bunun sonucunda veri sorumlusunun hukuka aykırı veri işlemekten dolayı cezai yaptırım ile karşı karşıya kalacaktır. Örneğin; bir eczanenin kendisinden ilaç satın alan tüm kişilere ait kişisel verileri, kişilerin izni ve bilgisi olmaksızın hukuka aykırı şekilde ilaç firmalarına aktarması halinde, eczaneye hem idari para cezası kesilebileceği gibi hem de Türk Ceza Kanunu anlamında suç teşkil etmesi sebebiyle ilgili kişi hakkında işlem tesis edilebilecektir.
Av. Melik Şeker ise konu hakkında şunları belirtiyor; ‘özel hayatın gizliliği, insanın sosyal hayat içerisinde sağlıklı bir birey olarak var olması için korunan bir hukuki değerdir. Özel hayatın gizliliğini ihlal suçunda, kişinin başkaları tarafından bilinmesini istemediği hayatının özel alanlarına girilmesinin cezalandırılması amaçlanarak bireye hukuki güvenlik sağlama amacı taşır’.
ECZANELER DAHİ BİLGİLERİ SAKLAMAK ZORUNDA
Hastanelerin yanı sıra poliklinik, muayenehane, klinik ve eczanelerin de KVKK'ya göre hastalarına karşı birçok yükümlülükleri var. Örneğin bir özel hastaneye gittiniz ve hastane tarafından kimlik fotokopiniz alındı, ancak alınan kimlik fotokopisi hastanenin ihmali sonucu yanlış kişilerin ellerine geçti ve bu durum sizin mağdur olmanıza sebebiyet verdi. Bu ve buna benzer birçok durumda özel hastane sizin kişisel bilgilerinizi korumamış ve KVKK’ya uygun hareket etmemiş oluyor ve ağır yaptırımlara maruz kalabiliyor. Tabii öncesinde siz de KVKK ile ilgili haklarınızı bilmelisiniz.
Av. Murat Uğurlu ve Av. Melik Şeker bu yükümlülükleri şöyle sıralıyorlar:
1- Aydınlatma yükümlülüğü: Buna göre veriyi alan özel sağlık kuruluşu veri sorumlusunun kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen verilerin ne amaçla kullanılacağını, bunun hukuki sebeplerini ve kişinin haklarını belirtmek zorunda.
2- Veri güvenliğine ilişkin yükümlülükler: Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve bu verilerin muhafazasını sağlamakla yükümlü.
3- Veri işleme faaliyetlerinin genel ilkelere uygun olması: Hukuka ve dürüstlük kurallarına uygun olması, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması vb.
Bu maddelerin dışında sağlık hizmeti veren kurumların, KVKK kararlarının yerine getirmesi ve kendi verileri hakkında bilgi almak isteyenlere yanıt vermeleri gerekmektedir. Ayrıca özel sağlık kuruluşlarının Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt olma zorunluluğu bulunmaktadır.
Özetle hepimiz KVKK için sorumluyuz. Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan iş yerlerinin Veri Sorumluları Sicil Bilgi Sistemi yani VERBİS’e kayıt yükümlülüğü için son tarih 31 Mart 2021. İşletme sahipleri ya da yöneticiler sadece VERBİS’e kayıt yükümlülüğüne önem verse de VERBİS’e kayıt yükümlülüğü dışındaki diğer yükümlülükleri yerine getirmeyen Sağlık Kuruluşlarının her an idari para cezası ile karşılaşma riski söz konusu. Bizler de toplum olarak kişisel verilerimizi paylaşırken daha dikkatli olmalı, doğabilecek sorunları akılda tutmalıyız.
Siberay, 'Kilit Kırılıyor…', 'Cihaza Erişim Sağlanıyor…', 'Log Kaydı Alınıyor…' gibi fotoğraflı mesajlar atan dolandırıcılara karşı vatandaşları sosyal medya üzerinden uyardı
Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı (Siberay), vatandaşları WhatsApp dolandırıcılarına karşı Twitter hesabından önemli bir uyarı paylaşımı yaptı. Siberay, örnek bir mesaj fotoğrafı paylaşıp, "Telefonunuza görseldeki türde gelebilecek mesajlar aldatıcıdır ve dikkate alınmamalıdır. Böyle bir durumda panik yapılmamalı, mesajı gönderen kişi önce şikayet edilmeli, sonra da engellenmelidir" denildi.
Siberay, 'Kilit Kırılıyor…', 'Cihaza Erişim Sağlanıyor…', 'Log Kaydı Alınıyor…' gibi fotoğraflı mesajlar atan dolandırıcılara karşı vatandaşları sosyal medya üzerinden uyardı.
SİBERAY, YAPILMASI GEREKENLERİ SIRALADI
Sosyal medyadan mesaj örneğini paylaşan Siberay'ın iletisinde, ''WhatsApp dolandırıcılığına dikkat! Telefonunuza görseldeki türde gelebilecek mesajlar aldatıcıdır ve dikkate alınmamalıdır. Böyle bir durumda panik yapılmamalı, mesajı gönderen kişi önce şikayet edilmeli, sonra da engellenmelidir.'' ifadeleri kullanıldı.
