Marriott Otel grubu tarafından 30 Kasım 2018 tarihinde yapılan açıklama ile öğrenilen ve 500 milyon kişiyi etkileyen veri sızıntısına dair öngörüleri tam olarak paylaşamadan 3 Aralık 2018’de kamuoyunun bilgisine ulaşan yeni bir ihlal ile karşı karşıyayız.Bu kez hedefte doğrudan bir silikon vadisi şirketi olan Quora var.

Eski Google ve Facebook çalışanları tarafından 2009 yılında kurulan Quora şirketi, “soru/cevap” platformu olarak tasarlanan web sayfasını 2010 yılında kullanıma açtıktan sonra, zaman içerisinde ciddi bir kullanıcı ivmesini yakaladı. Eylül 2018 itibariyle aylık 300 milyon bireysel kullanıcı/ziyaretçisi olan ve piyasa değeri 1.8 milyar dolar olarak hesaplanan Quora’ya Google veya Facebook hesabı ile de erişebiliyorsunuz.

Kredi sistemi ile kullanıcıların bir anlamda “puanlama sistemine” tabi tutulduğu platform adına 3 aralık pazartesi günü bazı kullanıcılara gönderilen e-postalar ile, kullanıcı verilerine yönelik 3.kişilerden gelen bir yetkisiz erişimin söz konusu olduğu, bu konuda ellerinden gelen çabayı gösterdikleri belirtilmiştir.

Platform web sayfasında açıklamasına yer verilen şirket yöneticisi Adam D’Angelo, 30 Kasım 2018 günü fark edilen sızıntıya hemen müdahale edildiğini, soruşturma başlatıldığını ve ilgili resmi otoritelerle işbirliği içinde olunduğunu belirtirken, çalınan kişisel veriler arasında ad/soyad, e-posta adresleri, IP adresleri, kullanıcı kimlik/hesap bilgileri, şifrelenmiş parolalar, kişiselleştirilmiş bilgiler, kullanıcıya ait sorular, cevaplar, yorumlar, blog yazılarının olduğunu ifade ediyor.

Platformunun yapısı gereği, facebook ve twitter hesapları başta olmak üzere, diğer bazı platformlardaki hesabınızı Quora hesabınıza bağlamanız mümkün ve bu şekilde bağlanmış hesaplardaki bazı bilgilere de izinsiz erişilmiş olduğu tesbit edilmiş. Ki bu da veri ihlalinin boyutlarını arttırıyor. 

Veri ihlali ve takip eden davranışları değerlendirmek gerekirse; Quora’nın 30 Kasım’da fark ettiği bir veri ihlali ile ilgili kısa sayılabilecek bir sürede harekete geçerek 3 Aralık’da kullanıcıları bilgilendirmesi olumlu bir tutumu gösterirken, kullanıcılara e-posta yoluyla bildirim yapılmış olması, açık bir kamuoyu bildirimi olmaksızın, biraz dikkat çekici.

Veri hırsızlığı ile ilgili yapılan yorumlarda, her ne kadar doğrudan banka hesabı vb bilgiler söz konusu olmasa da, Quora’dan çalınan verilerin kullanıcıların sosyal yaşamlarına dair detaylı veriler içerdiği, bu şekilde elde edilen verilerin analizi ile kişiye özel aldatıcı uygulamaların söz konusu olabileceği uyarısında bulunuyorlar.

Ötesinde, kişilerin sadece Quora hesabı değil bağlı diğer hesaplarındaki bazı bilgilere de erişimin söz konusu olması ve özellikle teknoloji şirketleri çalışanları arasında kullanıcıların yoğun olması gözetilerek, şifre ve parolalar kullanılarak çalışanın bağlı olduğu şirket ağlarına erişim sağlanabileceği uyarısında da bulunuluyor.

Türkçe dil seçeneği olmadığı için Türkiye’de pek bilinmeyen ve kullanılmayan bir platform olmakla beraber yine de belirli bir sayıda türk kullanıcısının olması sorunu bize de taşıyor. Aslına bakarsanız, veri ihlali ile ilgili bir sorunun “ulusal sınırlara” bağlı olması da mümkün değil. Bu nedenle kişisel verilerin korunması konusunun uluslararası bir düzeyde ele alınması gerekiyor ki AB tarafından Mayıs 2018 itibariyle yürürlüğe konulan GDPR, bir anlamda bu işlevi yürütmeye aday.

Son dönemde ardı ardına yaşanan bu gelişmeler, teknoloji kullanımında ciddi bir tehlike olduğunu da ortaya koyuyor. Ancak, dikkat edilmesi gereken nokta, çalınan bu verilerle ne yapıldığı? Bazı banka hesaplarına erişilerek para aktarımı yapılması ve diğer bilinen yöntemler sanki geride kaldı. Bu veriler, bir şekilde ve bir yerde kullanılıyor ama bunun açık bir cevabı yok.

Ticari saikler kadar siyasi veya toplumsal bir takım amaçlar da söz konusu olabilir. Yakın zamanda gerçekleşen ve 500 milyon kişiyi etkileyen Marriott otel grubu sızıntısının yanına 100 milyon kişiyi etkileyen Quora’yı koyduğunuzda, bu kadar insanın verisinin analizinden kim, ne yarar elde eder sorusu ortaya çıkıyor. ABD’de devam eden Rusya soruşturmasının da benzer bir soruyu yanıtlamaya çalıştığı düşünüldüğünde, konunun önemi anlaşılabilir. Bu nedenle, veri ihlallerine dair vakıaların, ceza usulüne tabi olarak soruşturularak aydınlatılması, soruşturma sonuçlarının da kamuoyu ile paylaşılması gerekiyor.

Belki de, geleceğin “petrolü” olarak tanımlanan veri ve veri korumasına bakış açısının değişmesi gerekiyor. Aksi taktirde, yetersiz açıklamalarla geçiştirilmesi veri hırsızlıklarının, failler hakkında ciddi şüpheler uyandırmaya başlıyor…

Yazdır