Dünyanın En Büyük Data Sızıntılarından Biri Gerçekleşti

On yılı aşkın müddettir kimlik hırsızları ve internet dolandırıcıları, insanların paralarını çalmak, hesaplarına girmek ya da onlara bürünmek için çalınmış kullanıcı datalarının olduğu bir karaborsa oluşturdular. Ekim ayında ise hepimizi sarsması gereken bir gelişme yaşandı: 1,2 milyar insanın verisinin inançsız bir biçimde depolandığı ortaya çıktı.

İnternetin en karanlık noktalarını araştıran Vinny Troia, dün yayınladığı bir yazısında Ekim ayında yaptığı keşiften bahsetti. Troia, toplamda 1,2 milyar kaydın bulunduğu 4 terabaytlık şahsî dataların inançlı olmayan bir sunucu üzerinde açıkta ve kolay kolay erişilebildiğini keşfetti.

Bu inanılmaz keşif gezegenimizde yaşayan insanların birçoklarını ilgilendirse de korunan bilgilerin ne oldukları da biliniyor. Datalar, şifreleriniz, kredi kartı numaralarınız ya da kimlik numaranız üzere bilgileri içermiyor. Lakin içiniz rahatlamasın, ortalıkla resmen avını bekleyen bilgilerimiz üzere epey ayrıntılı bilgilerimizi içeriyor.

İnançsız bir biçimde saklanan bilgilerimizde yüz milyonlarca insanın konut ve cep telefon numarası, Facebook, Twitter, LinkedIn ve Github üzere toplumsal medya profillerimiz, 50 milyonun üzerinde telefon numarası ve 622 milyon mail adresi bulunuyor. Yani bizi aldatmaya çalışan bir kişi, hakkımızda neredeyse tüm bilgilerimize erişebiliyor.

Troia keşfi nasıl yaptı?

Vinny Troia, güvenlik araştırmacısı arkadaşı Bob Diachenko ile BinaryEdge ve Shodan’da rastgele bir sızıntı olup olmadığını denetim ederken bu inanılmaz şeyle karşılaştı. Sunucunun IP adresi lakin Google Cloud Services’a kadar takip edilebiliyordu, hasebiyle bilgileri kimin depoladığı bilinmiyordu.

Bununla birlikte Vinny Troia, bu dataları birisinin daha evvel bulup bulmadığını, bulduysa indirip indirmediğini de bilmiyordu. Fakat Vinny’nin söylediğine nazaran sunucuyu bulmak ve ona ulaşmak hayli kolaydı. Sunucuya erişmek için yapılması gereken tek şey tarayıcınızın adres çubuğuna ‘http://35.199.58.125:9200’ adresini yazmaktı. Erişim için rastgele bir şifre ya da yetki gerekmiyordu.

Keşfi yapan Vinny Troia, avlanmayı bekleyen bilgileri bulduktan sonra bu keşfini çabucak FBI’a bildirdi. Troia’nın bildirisinden birkaç saat sonra FBI, internette dolaşan bilgileri çevrimdışı yapmak için sunucuyu kapattı. FBI tarafından ise olayla ilgili rastgele bir açıklama yapılmadı.

Bilgiler etiketlenmişti:

Troia’nın keşfettiği bilgiler bir ortada toplanmış dört data setinden oluşuyordu. Bunlardan üçü San Francisco’da bulunan People Veri Labs’den (PDL) gelmiş olarak etiketlenmişti. PDL, kendi sitesinde 1,5 milyardan fazla insanın verisini satılık olarak lanse ediyor.

People Veri Labs, satılık dataların yanında bir milyondan fazla şahsî e-posta adresini, 420 milyondan fazla LinkedIn URL’sini, bir milyardan fazla Facebook URL’sini ve kimliğini ve 400 milyondan fazla telefon numarasını da bünyesinde saklıyor.

Olayla ilgili açıklama yapan PDL kurucu ortağı Sean Thorne, şirketinin açığa çıkan dataları barındıran sunucunun sahibi olmadığını söyledi. Vinny Troia’da bilgileri inceleme fırsatı bulduğu için PDL’in haklı olduğunu düşünüyor. Lakin ortada bir soru hâlâ cevaplanamıyor: Bilgiler nasıl toplandı?

PDL, kendisinden alışveriş yapan müşterilere sırf dataları sunuyor, dataların güvenliğini sağlamak müşteriye bağlı oluyor. Pekala PDL’e müsaadesiz erişim sağlanmış olabilir mi? Troia’ya nazaran bu da olasılıklar ortasında yer almıyor. Zira şirketten data satın almak, müsaadesiz erişim sağlamaktan çok daha kolay.

Üç bilgi setinin dışında başka data seti ise ‘OXY’ olarak etiketlenmişti. Vinny Troia, bu etiketin ABD’li bilgi sağlayıcısı Oxydata’ya ilişkin olabileceğini düşünüyor. Oxydata, dünya çapında 195 ülkeden ve 85 sanayiden 380 milyondan fazla çalışanın ve tüketicinin bilgilerini bulunduruyor. Bu dataların toplam boyutu ise 4 terabayt.

Vinny Troia ve arkadaşı Diachenko, PDL ve Oxydata’dan elde edildiği kestirim edilen dataları karşılaştırmışlar. Karşılaştırma sonucunda ise her iki kaynağın da birbirine mükemmel bir biçimde uyduğunu görmüşler. Troia’nın Oxydata verisi LinkedIn profilinin kopyasını içerirken PDL profili 10 yıl evvel aldığı telefon sınırını bile içeriyormuş.

Lakin Oxydata kurumlararası satış yöneticisi Martynas Simanauskas, şirketin rastgele bir müsaadesiz teşebbüsle karşılaşmadığını söyledi. Martynas ayrıyeten şirketinin sağladığı dataların ‘OXY’ etiketiyle etiketlenmediğini de aktardı. Lakin dataların bir müşterilerinden alınmış olabileceğini söyledi. Natürel dataların nasıl alındığının kesin açıklamasının olmadığını biz de bir sefer daha söyleyelim.

Her iki data sağlayıcısı da aslında sattıkları bilgilerin müşterileri tarafından berbat kullanılmış olabileceğini söylüyor. İşte tam olarak bu bahsedilen şey de bilgi alım satım sanayisinin bir diğer sorununu gözler önüne seriyor. Bu alışverişlerde görünüşe nazaran güvenlik ve saklılık sağlanmıyor.

İçinizi bir nebze de olsa rahatlatmak için birkaç şey söyleyebiliriz. Bilgilerin internette dolaşıyor olması, bir hackerın bu datalara çabucak erişmiş olduğu manasına gelmiyor. Ama bu çeşit dataların ortada inançsız bir biçimde dolaşıyor oluşu ve bunun muhtemelen tek örnek olmadığı gerçeği aklımızdan çıkmıyor.