Bu hafta Yemek Sepeti ismiyle bilinen elektronik ticaret sitesine birilerinin sızdığı (hacklendiği) ortaya çıktı. Bu siber saldırı sonucunda 21 milyon vatandaşın verilerinin etkilendiği de gelen bilgiler arasında. Bu siber ihlal Türkiye’deki en büyük veri kayıplarından biriyle sonuçlanmış gibi görünüyor.

Türkiye’deki büyük veri kaçağı olaylarından biri de 2013 yılında 54 milyon seçmen verisinin ele geçmesiydi. Çok yakın zaman önce de kaynağı belirsiz şekilde 72 milyon vatandaşın T.C. kimlik numarası, cep telefonu numarası, anne baba adı, adresi, cinsiyet bilgilerinin yeraltı sitelerinde 5000 TL’ye satıldığı görülmüştü. Bir diğer olay da bundan birkaç yıl önce 500.000 civarında vatandaşın kredi kartı bilgilerinin bir bankadan çalındığı olay olmuştu.

Son olaya gelirsek, eğer Yemek Sepeti sitesinde bir hesabınız var ise ad-soyad, doğum tarihi, telefon numarası, e-posta adresi, posta adresi, şifrenizin özet bilgisi ve işlem IP adresleriniz birilerinin elinde diyebiliriz. Şifrenizin kendisine ulaşmak şimdilik mümkün değil gibi görülse de, basit şifrelerin hızlı bir şekilde ortaya çıkması mümkün.

Aynı şifreyi başka sitelerde de kullanıyorsanız, e-posta adresiniz de bilindiğine göre, bu verilere sahip bir saldırgan, e-posta adresinizi ve şifrenizi başka sitelerde de deneyebilir demektir. “Keşke aynı şifreyi her yerde kullanmasaydım” dediğinizi duyar gibiyim. Evet, aynı şifreyi aynı e-posta ile kayıtlı olduğunuz birden fazla yerde kullanırken birkaç kez düşünmek gerekiyor.

Peki, ne yapacaksınız? Eğer bu sitenin müşterisi iseniz ilk aşamada yapmanız gereken şey şifrenizi değiştirmek olmalı. Ayrıca farklı sitelerde farklı şifreler kullanmaya çalışın.

Peki, bu yeterli mi? Değil. Artık şifreye tek başına güvenme devri geçti. Başkalarının da bir şekilde öğrenebileceği bir “bilgi”, şifreniz. “Bilgiler” öğrenilebildiğine göre başka bir şey bulmak gerekiyor. Örneğin, cep telefonu cihazınız hep yanınızda. Ya da parmak iziniz sizinle bir bütün. İşte bunlara kimlik doğrulamadaki “diğer faktörler” diyoruz. İkinci faktör sahip olduğunuz cep telefonu, üçüncü faktör benliğinizin ifadesi olan parmak iziniz. Şifre “bildiğiniz bir şeydi (1)”. Diğer faktörler ise “sahip olduğunuz bir şey (cep telefonu)(2) ve siz olan bir şey (parmak izi)(3)”

Sizin elinizde olmayan sebeplerle başkalarının öğrenebileceği şifre bilginizi tek koruma unsuru olarak kullanmak yerine, bu ikincil faktörleri kullanın. İnternet sitelerinde, sosyal medya hesaplarınızda, e-posta hesaplarınızda, internet bankacılığı girişlerinizde “iki faktörlü doğrulama” seçeneğini işaretleyin. Bu sayede şifrenize ek olarak cep telefonunuza gelen bir kodu ekleyerek giriş yapabilirsiniz. Dolayısıyla şifreniz çalınsa dahi cep telefonunuz ellerinde olmadığından sizden başkası giriş yapamayacaktır.

Diğer yandan cep numarası, doğum tarihi ve posta adresinin de ele geçtiğini hatırlatıyorum. Bu noktada oltalama saldırıları ya da sosyal mühendislik saldırıları denilen saldırı tipleri için de kullanılabilecek bir veri kötü insanların eline geçti demektir. Örneğin, size birisi “bir bankadan arıyorum” diyerek isminizi ve doğum tarihinizi söylediğinde, normalde “doğum tarihimi bilemez banka olmasa” diye düşünerek güvenebilirdiniz. Güvenmeyin! Gördüğünüz gibi bu bilgiler artık el âlemin elinde. Bu bilgileri kullanarak özellikle genç ya da yaşlı kişileri aldatmak daha mümkün.

Gördüğünüz gibi siber güvenliğinizi sağlamakta ana kuvvet yine sizsiniz, basit önlemler ve biraz farkındalık ile.