EREN KOCA / HABER MERKEZİ – Kullanıcı bilgilerini muhafaza konusunda sabıkalı ABD’li Meta şirketi, kendisine bağlı Instagram’daki devasa güvenlik açığıyla bir sefer daha sarsıldı. API sistemindeki kontrol eksikliğini fırsat bilen saldırganlar, 17.5 milyon kullanıcının ferdî bilgilerini karanlık ağda (dark web) paylaşıma açtı. Bilgileri çalınan vatandaşları hangi tehlikelerin beklediğini uzmanlar Milliyet’e anlattı.
Siber güvenlik araştırmacıları tarafından fark edilen sızıntı, milyonlarca kullanıcıyı kimlik hırsızlığına karşı savunmasız bıraktı. Çalınan bilgi seti, “Solonik” takma ismini kullanan bir saldırgan tarafından bir bilgisayar korsanı forumunda yayınlandı. “INSTAGRAM.COM 17M KÜRESEL USERS 2024 API LEAK” başlığıyla paylaşılan ilan, JSON ve TXT formatlarında 17.5 milyon kayıt içerdiğini argüman ediyor. Forumdaki paylaşıma nazaran datalar, 2024 yılının sonlarında bir “API sızıntısı” yoluyla elde edildi.
KRİTİK BİLGİLER ÇALINDI
Saldırganların, Instagram’da dünya çapındaki kullanıcı profillerini bilgi kazıma (scraping) metoduyla topladığı belirtiliyor. Sızdırılan data tabanı, şu kritik bilgileri içeriyor: “Kullanıcı isimleri, e-posta adresleri, telefon numaraları, kullanıcı kimlik numaraları (ID), ülke ve pozisyon dataları.” Bu bilgiler, siber hatalıların kapsamlı profiller oluşturmasına imkan tanıyor. Çok sayıda Instagram kullanıcısı, dataların sızdırılmasından bu yana istenmeyen şifre sıfırlama bildirimlerinde büyük artış olduğunu bildirdi.
‘ÇALDIKLARI BİLGİLERLE SALDIRIYORLAR’
3.5 milyar Instagram kullanıcısı olduğunu belirten Siber Güvenlik Uzmanı Gökhan Say şunları söyledi: “META’nın data sızıntısı konusunda karnesi kırık. 2018’de 50 milyon, 2019’da 600 milyon, 2021’de 533 milyon kişinin sızıntılarını yaşadık. Bilgilerin çalınmasıyla ilgili farklı formüller var. Şirketin hackedilmesi usulüyle bilgiler çalınabilir. Oltalama tekniğiyle çalınabilir. Dolandırıcılar, kendilerini Instagram takviye takımı üzere tanıtarak yahut ifşa olan ferdî ayrıntıları kullanarak itimat inşa edip, kurbanları iki faktörlü doğrulama (2FA) kodlarını yahut giriş bilgilerini vermeleri için kandırabiliyor. Çalınan datalar, oltalama maillerinde kullanılıyor. Pek çok saldırıyı gerçekleştirebiliyorlar.”
‘MAHKEMELİK OLABİLİRSİNİZ’
Avukat Hasret Şen: “Çalınan hesaplar üzerinden yapılan paylaşımlar, bildiriler yahut dolandırıcılık teşebbüsleri, birinci bakışta hesap sahibini sorumlu üzere gösterebilir. Bilhassa tehdit, hakaret, dolandırıcılık yahut yasa dışı içerik paylaşımları kelam hususuysa, mağdur vatandaşlar tabire çağrılabilir. Fakat burada değerli olan, kişinin bu fiilleri şahsen gerçekleştirmediğinin teknik ve hukuksal yollarla ortaya konulabilmesidir. Yani teorik olarak bir risk vardır; lakin hukuken sorumluluk otomatik olarak hesap sahibine yüklenmez. En büyük risk, kimlik hırsızlığı ve düzmece süreçlerdir. Ele geçirilen bilgilerle diğerleri ismine borçlandırıcı süreçler yapılabilir, geçersiz hesaplar açılabilir yahut üçüncü bireylere ziyan verilebilir. Bu durumda vatandaşlar hem ceza soruşturmalarıyla muhatap olabilir hem de uzun süren tüzel süreçlerle karşılaşabilir. Bu nedenle şifrelerin derhal değiştirilmesi, iki kademeli doğrulamanın faal edilmesi ve kuşkulu durumlarda savcılığa başvurulması değerli.”
