Gün
içerisinde "e-nabız hacklenmiş" gibi bazı haberler görebilirsiniz. Bu
haberlerde başka kamu kurumlarının adları da geçebilir.
Bana
sorarsanız, herhangi bir sitenin hacklenmesi söz konusu değil ama kendi
güvenliğimiz için yapmamız gerekenler var.
Bu savımı desteklediğini
düşündüğüm üç ipucunu ve yapılmasında fayda gördüklerimi aşağıda
paylaşıyorum.
İpucu 1:
Sitede 7 milyon e-nabız kullanıcısına ait olduğu iddia edilen bilgiler
satılıyor oysa 1 aralık 2020'de e-nabız kullanıcı sayısının 27 milyonu
aştığına dair haberler bulabilirsiniz. Bu tür bir "hack" olayını
gerçekleştirmek için kullanılan araçlar bize "27 milyon kayıttan sadece 7
milyonunu ver" deme imkanı sunmadığı için ya veritabının tamamını almak
gerekiyor veya tek tek bu kayıtlara ulaşmak lazım. 7 milyon sorguyu tek
tek göndermekle uğraşmayacağı için veya uğraştıysa 7 milyonuncu kayıtta
durması için bir neden olmadığı için bu SQL injetion veya admin paneli
üzerinden yapılan bir iş gibi durmuyor.
İpucu 2:
Bir önceki ipucunu destekler nitelikte, e-nabız kayıtlarının satıldığı
iddia edilen kayıttan 1 gün önce (aşağıda), parola hırsızlığı için kullanılan bir
zararlı yazılımın Türkiye dahil kayıtlarını satan bir ilan var. 60 GB
boyutunda kayıt olduğu belirtilen ilandan çok sayıda Türk vatandaşının
T.C. Kimlik Numarası ve parolası elde edilmiş olabilir.
İpucu 3:
Örnekler veritabanından değil, münferit kullanıcı girişi yapılarak alınmış ekran görüntülerinden oluşuyor. Veritabanı elindeyse neden veritabanına ait herhangi bir kanıt/görüntü yok?
Sonuç:
1 Ekim'de satılan kullanıcı adı (muhtemelen T.C. Kimlik No.) ve parola ikilisini satınalan birisi bunları çeşitli kamu kurumu sitelerinde denedi ve tutturabildiklerinden bir liste oluşturdu. Olay ilgili kamu kurumlarının "hacklenmesinden" ziyade kullanıcıların farklı sitelerde aynı parolayı kullanmalarından kaynaklı bir "password reuse" (parolaların yeniden kullanılması) durumu gibi görünüyor.
Yapılacaklar:
- Kamu sitelerinde aynı parolayı kullanıyorsanız bunu mutlaka değiştirin.
- Farklı sitelerde farklı parolalar kullanın. Şu anda aynı parolayı kullandığınız farklı siteler varsa (gmail, twitter, facebook, vb.) bunları değiştirin.
- Parolalarınız en az 14 karakter uzunluğunda, büyük/küçük harf, özel karakter ve rakanadan oluşsun. Büyük harf başa, özel karakter sona gelmesin. Kullandığınız kelime sözlüklte yer almasın.
