Milyonlarca Tayland Vatandaşının Bilgileri Açığa Çıktı

Tayland’ın en büyük hücresel ağı olan AIS, milyonlarca Taylandlı internet kullanıcısına ilişkin milyarlarca gerçek vakitli internet verisinin ortaya çıkması sonrasında bir veritabanını çevrimdışı pozisyona getirdi. Güvenlik araştırmacısı Justin Paine, yayınladığı blog yazısında veritabanını, DNS sorgularını ve Netflow bilgilerini şifresiz bir formda internette bulduğunu söyledi. Paine, bu veritabanına erişilmesi sayesinde bir internet kullanıcısının ya da hane halkının internette gerçek vakitli bir biçimde neler yaptığını öğrenebileceklerini tabir etti.

Paine, 13 Mayıs tarihinde AIS’i açık veritabanı konusunda uyardı fakat bir hafta boyunca rastgele bir karşılık alamaması sonrasında Tayland’ın ThaiCERT olarak da bilinen Ulusal Bilgisayar Acil Durum Takımı'nı mevzuyla ilgili olarak bilgilendirdi. ThaiCERT, AIS ile irtibata geçtikten kısa bir mühlet sonra veritabanına erişim kesildi.

AIS, kullanıcılardan özür diledi:

AIS sözcüsü Sudaporn Watcharanisakorn, bilgilerin sahibinin AIS olduğunu ve güvenlik açığından dolayı özür dilediklerini söz etti. AIS sözcüsü, yaptığı açıklamada şu tabirleri kullandı: “Kişisel olmayan, kritik ferdî bilgi içermeyen küçük bir ölçü bilginin mayıs ayındaki bir test sırasında kısa periyodik olarak açığa çıktığı doğrudur. Bilgilerin tamamı, internet kullanım seviyeleriyle ilgilidir ve rastgele bir kullanıcıyı belirleyebilecek ferdî dataları içermemektedir. Bu olay sebebiyle prosedürlerimizin yetersiz kaldığını kabul ediyor ve bu sebepten dolayı özür diliyoruz.”

Açığa çıkan datalar sahiden risksiz mi?

Tech Crunch’ta yer alan bu bilgilere nazaran sözcü tarafından yapılan açıklamalarda gerçek olmayan kısımlar bulunuyor. DNS sorguları, internet kullanımının olağan bir yan tesiri üzeredir. Ne vakit bir internet sitesini ziyaret etseniz tarayıcı, internet adresini bir IP adresine çevirir ki bu da tarayıcıya, internet sitesinin nerede olduğuna dair bilgi verir.

DNS sorguları; özel bildiriler, e-postalar ya da şifreler üzere hassas bilgileri taşıyamasa da hangi internet sitelerine eriştiğinizi ve hangi uygulamaları kullandığınızı belirleyebilir. Bu da internet kayıtlarının, kaynaklarının belirlenmesine sebep olabilecek olan aktivistler ve gazeteciler için büyük bir sorun manasına geliyor.

Tayland’ın internet yasası, yetkililere internet kullanıcı datalarını tarama konusunda yetkiler veriyor. Tayland’da Asya’daki en sert sansürlerden bir tanesi bulunuyor. Tayland'ın kraliyet ailesine, ulusal güvenliğe ve muhakkak politik hususlara tenkitler yapmak büsbütün yasaklanmış durumda. 2015 yılında başa gelen idare, Facebook’tan muhakkak kullanıcıların paylaşımlarını sansürlemesini istemişti fakat bu, toplumsal medya devi tarafından reddedilmişti. Facebook’u ülke genelinde yasaklayacağını söyleyen idare, daha sonra bu kelamından vazgeçmişti.

DNS sorgularıyla neler öğrenilebilir?

DNS sorguları sayesinde bir kişinin internetteki aktivitelerine dair birçok şey öğrenilebilir. Paine, bu bilgileri kullanarak hangi aygıtlara sahip olunduğunun, hangi antivirüs programının kullanıldığının, hangi tarayıcıların kullanıldığının, hangi toplumsal medya uygulamalarına ve internet sitelerine sıkça uğranıldığının öğrenilebileceğini göstermişti.

Doğal bu, tek bir kişinin kullandığı internette daha kolay hâle geliyor. Ofislerde ya da bir interneti birden çok kişinin kullandığı konutlarda belirli bir kişinin aktivitelerini takip etmek çok daha güç. Ayrıyeten reklam veren kişiler de DNS bilgilerini hedeflemeli reklamlar konusunda epey kıymetli buluyor.