Gizlilik ve Anonimlik – Bilmeniz Gereken Her Şey

Gizliliğin Önemi Nedir?

Merhum John McAfee bir zamanlar şöyle demişti: “Gizliliğimizi ürkütücü bir hızla kaybediyoruz – artık hiç kalmadı.” Ve Gary Kovacs şunu söylemişti: “Gizlilik bir seçenek değildir, ve sadece İnternete bağlandığımız için kabul etmemiz gereken bir bedel olmamalıdır.”

Gizliliğiniz önemlidir çünkü bu, sizsiniz. Bu sizin kimliğiniz, kişiliğinizi oluşturan her şey ve yanlış ellere geçerse, tamamen üzerinizde kontrol kuracaklar.

İşte benden bir alıntı – eğer gizliliğinizi kontrol etmezseniz, başkası yapacak. Ve kimin hassas verilerinizi kontrol edip edemeyeceğini özür dilemeksizin ayırt etmelisiniz.

Kimlik hırsızlığı, 21. yüzyıl insanının bugün karşılaştığı en önemli risklerden biridir. Ve:

• 2024 itibariyle tüm Amerikalıların yaklaşık %33’ü kimlik hırsızlığı kurbanı olmuştur. Bu, dünya genelindeki ortalamanın iki katıdır
• 2019 itibariyle Avrupalıların yaklaşık %10’u çevrimiçi kimlik hırsızlığı yaşadıklarını söylemiştir
• ABD’de, ortalama kimlik hırsızlığı kurbanı 30-39 yaş arasındadır
• Her yıl 1 milyond
  an fazla çocuk kimlik hırsızlığı kurbanı olmaktadır
• Sosyal medya kullanıyorsanız, kimlik hırsızlığına karşı önemli ölçüde daha savunmasız durumdasınız (%30-46 daha savunmasız)
• Avrupa’da ATM dolandırıcılığından yıllık 200 milyon dolardan fazla kayıp yaşanmaktadır

Kimliğiniz, adınız, e-posta adresiniz, telefon numaranız, bankacılık bilgileriniz, kredi kartı numaranız, fiziksel adresiniz, medikal verileriniz, tatil planlarınız, fotoğraflarınız ve daha fazlası gibi sayısız unsurdan oluşur.
Bu unsurların her biri, tehdit unsurları tarafından sizin aleyhinize kullanılabilir.

“Hiçbir şey gizlemiyorsanız, korkacak bir şeyiniz yoktur” sözünü duymuşsunuzdur. Sadece kontrol altında olmayı kabul eden ve kötüye kullanım riskini anlamayan biri bu sözü söyler.

Yanılmayın – hassas verileriniz size karşı silah olarak kullanılabilir. Bu, insanlığın başlangıcından beri devam eden bir durumdur. Kimlik hırsızlığı, BEC (İş E-postası Kompromisi) ve çeşitli diğer siber saldırılar kişisel verilerinizi aleyhinize kullanır.

Verileriniz üzerinde kontrol sahibi olmamanız, kötü niyetli aktörlerin bu verilere ulaşabileceği anlamına gelir. Gizlilik, yasadışı işler yapmak için verilerinizi saklamak anlamına gelmez. Kendinizi, tam olarak bu verileri kullanarak size zarar verebilecek kişilere karşı önceden korumak için yapıyorsunuz.

Anonimlik Neden Önemli?

Eğer gizlilik dış tehditlere karşı pasif bir koruma ise, anonimlik toplumda daha aktif bir katılım sağlarken siber güvenlik risklerine boyun eğmemizi engeller.

İşte anonimliğe önem vermeniz için bazı önemli nedenler:

• Kimliğinizi gizleyerek veya bir maske arkasına saklayarak istenmeyen incelemelere karşı sizi korur. Bu, online aktivitelerde gereksiz yargılamalara veya üzerinize dikkat çekmeye maruz kalmadan yer almanızı sağlar. Bunun yasa dışı faaliyetlere katılmak anlamına gelmediğini unutmayın
• İfade özgürlüğünüzü kötüye kullanımdan, misillemelerden ve itibarınızı zedelemeye yönelik girişimlerden korur. Anonimlik, sansür korkusu olmadan çeşitli perspektif ve fikirlerin açık diyalog ve iletişimle paylaşılmasını teşvik eder
• Online taciz ve siber zorbalığa karşı sizi korur, kişisel saldırılara karşı güvende tutar
• Yanlış davranışlar hakkında bilgi vermek isteyen ihbarcıların ileri gelmesine yardımcı olarak hesap verebilirliği teşvik eder. Bu, şeffaflığı destekler, ancak ihbarcılık kontrol dışına çıkabilir ve iyi niyetle yapılsa da zarar verebilir

Anonimliğe karşı haklı veya haksız bir önyargı var. Anonimlik, siber suçlarda önemli bir faktördür, tehdit unsurlarının yetkililerden saklanmasına yardımcı olur ve saldırılarında onlara destek verir.
Ancak, anonimlik kendiliğinden kötü değildir. Sadece bir araçtır, nasıl kullanacağınıza siz karar verirsiniz. Bir kişi anonimliği kullanarak bir mega şirkete karşı DDoS saldırısı başlatabilirken, başka biri online alışveriş yaparken anonim kimlik kullanabilir.

Gizlilikte olduğu gibi, anonimliğe de hakkınız olmalı ve mümkün olduğunda anonimliği aramakta özgür olmalısınız. Özellikle günümüzün dijitalleşmiş düny

asında, anonimlik çoğumuz için artık sadece lüks bir durum haline geldi.

Çevrimiçi olduğunuzda kimse sizi tanımıyor ve anonim ve gizli olduğunuz için sizi bulamıyor olmanın verdiği özel bir rahatlama hissi var.

Paranoya mı? Belki, biraz.

Güvenlik ve gizlilik mi? Kesinlikle, evet!

Gizlilik ile Anonimlik Arasındaki Yasal Sonuçlar Nelerdir?

Gizlilik ve anonimlik, aynı madalyonun iki yüzü gibi. Online kimliğinizi tanımlarlar ve tehlikeli sonuçlara yol açmak için size karşı kullanılabilirler. İşte bu yüzden ikisiyle de ilgili ciddi yasal sonuçlar vardır.

Gizlilik İhlalleri

• Nature: Gizlilik ihlalleri, bir veri sahibinin (mağdur) kişisel bilgilerinin izinsiz olarak üçüncü taraflar tarafından erişilmesi, ifşa edilmesi veya kötüye kullanılması durumunda meydana gelir. Bu genellikle siber saldırılar sırasında tehdit unsurlarının veri sahibinin sistemlerine sızması veya veri kontrolörü‘nün güvenlik sistemlerini aşmasıyla gerçekleşir
• Sonuçlar: Olası kimlik hırsızlığı, şirketler için itibar kaybı, finansal dolandırıcılık, yasal sonuçlar, isimler, adresler, bankacılık ve sağlık verileri gibi hassas verilerin kaybı vb.
• Yöntemler: Sosyal mühendislik, kimlik avı (phishing), BEC, kötü amaçlı yazılım, veri araya girme, SQL enjeksiyonu, sıfırıncı gün (zero-day) açıkları, Wi-Fi izleme, DNS spoofing vb.

Veri gizliliği ihlalleri özellikle kötüdür çünkü insanların hassas verilerini içerir ve kötü niyetli kişiler tarafından kötüye kullanıldığında geçim kaynaklarını riske atabilir.
Bu yüzden çoğu medeni ülkede insanların gizlilik hakları ve özel verilerini koruyan yasalar vardır. Avrupa’da GDPR olarak bilinir ve tüm Avrupa vatandaşlarının gizlilik ve bilgi güvenliği haklarını denetler.

ABD’de, sağlık verileri için HIPAA, CRPA (California Gizlilik Hakları Yasası), finansal veriler için GLBA ve daha fazlası dahil olmak üzere birden fazla veri gizliliği yasası vardır.

Vaka Çalışması – Cambridge Analytica Skandalı

2018, gizlilik için iyi bir yıl değildi. Cambridge Analytica skandalı, siyasi danışmanlık firmasının milyonlarca Facebook kullanıcısının kişisel verilerini onların rızası olmadan topladığı ve kullandığı ortaya çıktığında dünyayı sarsmıştı.

New York Times’a göre, şirket Facebook verilerine dayalı seçmen profilleri oluşturuyordu ve ayrıca Rusya bağlantısı da tartışmalara neden olmuştu.

Mark Zuckerberg, Kongre’nin karşısına çıkarıldı ve Facebook’un bu karmaşada yer almadığını onlara temin etti. Ardından, Federal Ticaret Komisyonu, Facebook’un bu gizlilik ihlalleri nedeniyle 5 milyar dolar ceza ödemesi gerektiğini duyurdu. Sosyal medya şirketi 20 yıllık bir uzlaşma emri aldı.

Ayrıca, kullanıcıların verilerini kazara ifşa ettikleri için Birleşik Krallık Bilgi Komiserliği Ofisi’ne 500.000 pound ceza ödediler.

Cambridge Analytica, Mayıs 2018’de iflas başvurusunda bulundu ve bu konuda duyduğumuz son şey bu oldu.

Anonimlik İhlalleri

• Nature: Anonimlik ihlali, anonim kalmak isteyen bir bireyin kimliğinin kamuoyuna ifşa edilmesi durumunda meydana gelir
• Sonuçlar: Daha önce anonim eylemlerinize bağlanan kimliğiniz nedeniyle size karşı yapılan taciz, zorbalık ve diğer istenmeyen eylemler (toplumsal yargı)
• Yöntemler: Trafik analizi, meta veri istismarı, DNS sızıntıları, tarayıcı parmak izi, korelasyon saldırıları, ISS takibi, Wi-Fi izleme, kullanıcı davranış analizi vb.

Anonimlik ihlalleri genellikle daha az tehlikelidir çünkü bunlar mutlaka sizi yüksek derecede savunmasız bırakacak hassas verilerin (sağlık verileri, finansal veriler vb.) ifşa edilmesini içermez.

Anonimlik ihlali sadece kamuya açık kimliğinizi ortaya çıkarır. Bir platform, bir site veya bir grup insan, kim olduğunuzu kamusal olarak öğrenecektir. Genellikle, kamusal bilgileriniz sizi belaya sokmaz, eğer anonimliğin arkasına saklanarak kötü şeyler yapmadıysanız.

Burada iki durum senaryosundan bahsediyoruz:

1. Yasadışı Faaliyetlere Katılmak

Siber suçlular, yasadışı faaliyetlere katılırken anonimliği yasadan saklanmak için kullanırlar. Tabii ki, bu arzu edilir, kabul edilebilir veya uygun değildir.

Dahası, bir siber suçlunun anonimliğini ortadan kaldırmak, onları yakalamada hedeflerden biridir.

2. Baskıcı Hükümetlerden Saklanmak

Anonimlik, özgürlüklerini kısıtlayacak, onları taciz edecek ve misilleme yapacak baskıcı hükümetler altında yaşayan bireyler için son derece yararlıdır.

Bu durumda, anonimlik, hakları elinden alınmış kişiler için özgürlüğe ulaşmak ve mücadele şansı yakalamak için tek en iyi araçtır. Birçoğu sadece ülkeden ayrılmak istese de, diğerleri sadece dış dünya ile iletişim kurmakla yetinir.

Vaka Çalışması – Silk Road

Silk Road baskını, yakın tarihin en ünlü anonimlik ihlallerinden biridir. Silk Road, Tor ağı üzerinde her şeyi Bitcoin kullanarak işlem yapan çevrimiçi bir kara borsaydı.

Sonunda, Silk Road’un kurucusu Ross Ulbricht, 2013 yılında nihayet tanımlandıktan sonra tutuklandı. Çok sayıda kolluk kuvveti, yıllarca Silk Road üzerinde kapsamlı soruşturmalar yürütmüştü.

Tor ağı neredeyse mükemmel bir anonimlik sağlasa da, yetkililer bulmacayı bir araya getirebildi ve sonunda Ulbricht’i anonimlikten çıkarabildi. Bitcoin işlemlerini izlediler, sunucu kayıtlarını analiz ettiler ve onu bulmak için Dread Pirate Roberts takma adı altındaki çevrimiçi faaliyetlerini araştırdılar.

Ulbricht, bilgisayar korsanlığı, kara para aklama ve uyuşturucu ticareti dahil olmak üzere birkaç suçlamayla yargılandı. Mayıs 2015’te şartlı tahliye olmadan ömür boyu hapse mahkum edildi.

Silk Road baskını, anonimlikle ilgili tek bir gerçeği ortaya çıkarıyor – anonimlik asla kalıcı değildir. Eğer birisi sizi bulmaya kararlıysa ve elinde yeterli kaynak varsa, sizi bulacaklardır.

Bu aynı zamanda dünya çapındaki siber suçlular için bir ders niteliğindedir.

Hukuk, Özel ve Anonim Eylemleri Nasıl Görüyor?

Özel ve anonim eylemler, çoğu Batı ülkesinde yasaldır. Bu, gizliliğinizi ve anonimliğinizi koruyarak toplum içinde hareket etme hakkınız olduğu anlamına gelir ve bunun teorik sınırları yoktur.
Ancak, yasadışı faaliyetlere başladığınızda hukuk sınırları çizer. İşte o zaman gizliliğiniz ve anonimliğiniz, parçalanacak kullanılmış mallar haline gelir.

Genellikle, tehlikeli faaliyetlere karışmıyor ve haklarınız içinde olduğunuzda bile, anonimlik gizlilikten daha fazla feda edilebilir.

Anonimlik ihlallerinde, gizlilik ih

lallerine kıyasla daha az yasal koruma alırsınız. Bireyler genellikle anonimlikle ilgili daha az beklentiye sahiptir çünkü bu, kendinizin seçtiği bir şeydir.

Öte yandan gizlilik, verilerinizi kontrol edenlerden talep ettiğiniz bir şeydir. Verilerinizi kontrol eden her zaman birisi vardır. Veri kontrolöründen verilerinizi korumasını beklediğiniz talep ve beklentileriniz katbekat daha yüksektir.

Hukuk da veri ihlallerine karşı sizi daha fazla korur ve verilerinizi koruyamayan veri kontrolörlerine daha ağır cezalar uygular.

Masum bir kurbanın anonimliğini kaybedip bu süreçte zarar gördüğü anonimlik ihlali vakaları oldukça azdır. Çoğu durumda, siber suçlular tarafından masum kurbanların avlandığı gizlilik ihlalleri yaygındır.

Anonimlik söz konusu olduğunda, kurban genellikle suçludur. Silk Road örneğinde olduğu gibi, suçlu suç işlerken anonimliğini kimliğini saklamak için kullanır. Ve yetkililer, onları bulup cezalandırmak için bu anonimlik katmanını yıkarlar.

Yasal ve yasadışı anonimlik (veya gizlilik) arasında çok ince bir çizgi vardır. Eğer kanunun yanlış tarafındaysanız, tüm bu haklarınız, yetkililer tarafından yakalanmanıza kadar seçici olarak askıya alınacaktır.

Toplum, bireylerin eylemlerinden özellikle dijital çağda sorumlu tutulmasını sağlamak zorundadır. Ve böylece, gizliliğin bir koruyucu olarak ve kanundan kaçmak için bir araç olarak arasında bir denge vardır.

Gizlilik ve Anonimlikte Teknolojik Yönler

Kişisel çabalarınız, gizliliğinizi ve anonimliğinizi geliştirmede size ancak belirli bir noktaya kadar yardımcı olabilir. İşte bu noktada, çevrimiçi güvenliğinizi korumak ve sürdürmek için dijital araçlar kullanmaya başlarsınız.

Bahsettiğim bazı araçlar şunlardır:

• VPN’ler (Sanal Özel Ağlar)
• Şifre yöneticileri (LastPass ve KeePass hariç)
• Proxy’ler (özellikle HTTPS proxy’ler)
• Çoklu takma ad oluşturmanıza izin veren özel e-posta sağlayıcıları (Proton Mail gibi)
• Sanal kredi kartları
• Özel internet tarayıcıları (Librewolf gibi) ve arama motorları (DuckDuckGo gibi)
• Yubikey gibi fiziksel güvenlik anahtarları
• Kripto para ile ödeme yapmak
• Uçtan uca şifreli mesajlaşma platformları (Signal ve WhatsApp gibi)
• Mobil cihazlar için özel gizli işletim sistemleri (GrapheneOS veya CalyxOS gibi)

Bu araçların bazıları gizliliğinizi artırır, bazıları sizi anonim yapar ve bazıları da her ikisini birden yapar. Sonra, verilerinizi güvende tutmak için yardımcı olan başkaları vardır, böylece yanlış ellere geçmez.
Bütün bunların ironik yanı, gizliliğinizi ve anonimliğinizi korumak için kullandığınız araçların sayısı arttıkça, veri kontrolörlerinin elinde daha

fazla veriniz ve kimliğiniz olmasıdır.

Ancak yukarıda bahsedilen araçların bazıları için bu durum geçerli değildir. Zaten bir tarayıcı, arama motoru ve e-posta sağlayıcısı kullanacaksınız, o zaman neden en özel olanlarını seçmeyesiniz?

Daha önce de dediğim gibi, özel verilerinizi ve kimliğinizi herkesten saklamayı seçemezsiniz. Sadece kime paylaşacağınızı seçebilirsiniz, böylece en büyük faydaları elde ederken risk altında olmadan devam edersiniz.

VPN’ler – Gizlilik & Anonimlik İçin İdeal

Bundan kaçış yok – hem gizliliğinizi hem de anonimliğinizi korumak istiyorsanız, en iyi araç Sanal Özel Ağ’dır. Daha spesifik olmak gerekirse, premium bir VPN.
Ücretsiz VPN’ler, yalnızca bazı coğrafi engellemeleri aşmak ve VPN endüstrisine ilk adımınızı atmak için iyidir. Ancak çevrimiçi güvenliğiniz, gizliliğiniz ve anonimliğiniz gerçekten önemliyse, sonunda premium bir VPN seçeceksiniz.

Piyasadaki en pahalı olanı seçmenize gerek yok. Surfshark, birçok kullanıcı için fazlasıyla yeterlidir – 14 Göz Ülkeleri dışında, katı bir kayıt tutmama politikası, sağlam şifreleme ve iyi anonimlik özellikleri sunar.

İşte VPN özelliklerinden bazıları, gizliliğinizi ve anonimliğinizi artırmaya yardımcı olur:

• Kill Switch, VPN bağlantınız herhangi bir nedenle başarısız olursa sizi otomatik olarak internetten ayıran özelliktir. Bu, cihazınızın VPN şifrelemesi olmadan kamuya açık bir şekilde maruz kalmasını önler
• DNS Sızıntı Koruması DNS isteklerinizi VPN tüneli üzerinden yönlendirir, bu da gezinirken ISS’nize olası sızıntıları engeller
• Çoklu-Hop Sunucular internet trafiğinizi birden fazla VPN sunucusu üzerinden ve birkaç konumda yönlendirir. Bu, anonimliğinize ekstra bir katman ekler, sizi bulmaya çalışanların işini iki kat zorlaştırır
• Tor Üzerinden VPN, VPN bağlantınızın üzerine Tor ağının şifreleme ve anonimlik standartlarını ekler, size her iki dünyanın en iyisini sunar
• Bölünmüş Tünelleme hangi uygulamaların doğrudan internete bağlanacağını ve hangilerinin VPN bağlantısı üzerinden geçeceğini seçmenize olanak tanır. Bu, performansınızı güvenlikle dengeler
• Gizlenmiş Sunucular, VPN trafiğinizi gizlemenizi ve onu normal internet trafiği gibi göstermenizi sağlar. Bu, kendi hükümetinizin sizi izlediği ve VPN kullanırken yakalanırsanız sizi cezalandıracağı durumlarda faydalıdır

İyi premium VPN
‘ler, bir gizlilik uzmanı için vazgeçilmez olan bu özellikleri sunar. Bir VPN için ödeme yapmaya karar verdiğinizde, otomatik olarak ne beklemeniz gerektiğini biliyor olursunuz.

Sonuç olarak, gizlilik veya anonimlik elde etmeyi veya sürdürmeyi umuyorsanız, gizlilik odaklı tarayıcılar, arama motorları, VPN’ler, özel e-posta sağlayıcıları ve daha fazlası gibi araçlar kullanmadan bunu başaramazsınız.

Gizlilik, Anonimlik ve Kamusal Hayat

Gizlilik ve anonimlik sizin için önemli olabilir, ancak kamusal hayatınızı da göz ardı etmeyin. Üçünü de aynı anda ve aynı etkinlikte yapamazsınız. Bazı ödünler gereklidir.

Şunu demek istiyorum:

• Seçici Bilgi Paylaşımı – Kamuoyuyla hangi bilgilerinizi paylaşacağınızı (ve hangi bilgileri paylaşacağınızı) seçmek zorundasınız ve hangilerini özel tutacağınızı belirlemelisiniz. Toplumda yer almak, bir şekilde anonimliğinizi ve gizliliğinizi feda etmenizi gerektirir
• Gizlilik Ayarlarını Kullanın – Kullandığınız hemen her uygulama ve platformun değiştirebileceğiniz gizlilik ayarları olacaktır. Bunları tercihlerinize göre ayarlayın ve gizlilik ihtiyaçlarınız ile sosyal varlığınızı dengede tuttuğunuzdan emin olun
• Takma Ad veya Rumuz Kullanın – Özellikle bir hizmet için gerçek dünya kimliğinizi kullanmanız gerekmiyorsa, bunlar her zaman yardımcı olur. Proton gibi bir e-posta sağlayıcısı takma ad seçenekleri sunacaktır
• Riskleri Anlayın – Çevrimiçi ne yaparsanız yapın, bunun gizliliğinize ve anonimliğinize nasıl etki edeceğini anlamalısınız. Bu şekilde, gizliliğinizi koruyan eylemlerle onu yok eden eylemler arasında daha bilinçli kararlar vereceksiniz
• Dijital Detoksu Düşünün – Arada bir internetten biraz zaman ayırmak ve gizliliğiniz ile çevrimiçi zamanınızı dengelemek kötü bir fikir değildir

Çevrimiçiyken %100 gizli veya anonim olamayacağınızı bilmek, bunlardan vazgeçmeniz gerektiği anlamına gelmez. Korumanız gereken hassas bir denge var ama işte bu denge, huzurunuzu ve sağlıklı sosyal katılımınızı bulacağınız yerdir.
Bir kural olarak, kullandığınız tüm hizmetlerde ve platformlarda Kişisel Tanımlayıcı Bilgilerinizi (PII) sınırlamalısınız. Örneğin, telefon numaranızı veya e-posta adresinizi gereksiz yere fazla paylaşmaktan kaçının, çünkü bu gereksiz güvenlik açıkları yaratabilir.

Bazı hizmetlerle PII’nizi paylaşmanız kaçınılmazdır, ancak verilerinize erişim sağlayan üçüncü taraflara karşı daha seçici olun.

Gizlilik ve Anonimliği Sürdürmenin Zorlukları Nelerdir?

Gizlilik ve anonimlik elde etmek kolay kısmıdır, ancak onları sürdürmek daha karmaşık bir hal alır. En yaygın zayıf nokta, ironik bir şekilde kullandığınız hizmetlerdedir.

Hedeflenmiş bir veri ihlali, PII’nizi (Kişisel Tanımlayıcı Bilgiler) açığa çıkarabilir ve sizi sosyal mühendislik saldırıları için hacker’ların hedef tahtasına koyabilir. Eminim Ağustos 2019’da Facebook veri ihlalini ve 530 milyondan fazla kullanıcının verilerinin açığa çıktığını duymuşsunuzdur.

Açığa çıkan bazı bilgiler şunlardı:

• Telefon numaraları
• E-posta adresleri
• Tam isimler
• Konumlar
• Diğer profil bilgileri

Neyse ki, veri dökümünde sağlık, finansal veya kimlik bilgisi içermiyordu. Ancak, bu büyüklükteki veri ihlalleri günümüzde giderek daha yaygın hale geliyor.
2023 yılındaki dünya çapında en büyük siber güvenlik saldırıları hakkındaki başka bir yazıda, Eylül 2023’te 3.8 milyar kaydın açığa çıktığı en büyük veri ihlalini bulduk.

Özellikle korkunç veri ihlalleri, sizi korumak için tasarlanmış hizmetlerde meydana geliyor. Burada LastPass’ı düşünüyorum, 2011’e kadar uzanan güvenlik olayları geçmişi var.

Son olay, ve birçok kullanıcı için son damla 2022’de gerçekleşti.

LastPass Saldırı Zaman Çizelgesi:

• Bir yetkisiz kişi, LastPass’ın üretim verilerinin arşivlenmiş yedeklerini içeren üçüncü taraf bulut tabanlı bir depolama hizmetine sızdı
• Saldırgan, kaynak kodu ve depolama hizmetindeki depolama birimlerine erişmek ve şifresini çözmek için kullanılan kimlik bilgilerini ve anahtarları çaldı
• Hacker’in kopyaladığı depolama hizmetinden gelen
  bilgiler müşteri şirket isimleri, fatura adresleri, son kullanıcı isimleri, telefon numaraları, e-posta adresleri ve IP adreslerini içeriyordu
• Saldırgan ayrıca hem şifreli (web siteleri kullanıcı adları ve şifreleri) hem de şifresiz veriler (web siteleri URL’leri) içeren müşteri kasa verilerinin bir yedeğini kopyaladı

Saldırganın artık, LastPass kasalarını mekanik olarak şifresini çözmeye çalışmak için kaba kuvvet parola saldırıları kullanması gerekiyordu. Yine de kasalar, AES-256 şifrelemesi kullanılarak şifrelendiği için, kullanıcı kasalarının güçlü parolalarla korunduğu varsayıldığında, şifre çözmeye karşı etkin bir şekilde dayanıklıdır.
İki büyük sorun, bu olayın ilk olmaması ve saldırının kaynağının LastPass DevOps mühendisi olmasıydı. Hacker, mühendisin ev cihazında yüklü olan savunmasız bir üçüncü taraf yazılımını kullanarak depolama alanlarına erişim sağlamıştı.

LastPass’ın belirttiğine göre saldırı “DevOps mühendisinin ev bilgisayarını hedef alarak ve uzaktan kod yürütme yeteneği sağlayan savunmasız bir üçüncü taraf medya yazılımı paketini sömürerek gerçekleştirildi. Tehdit aktörü, çalışanın ana parolasını, MFA ile kimlik doğrulandıktan sonra girildiği sırada yakalayarak, LastPass kurumsal kasa‘ya erişim sağladı.”

Bu, gizlilik ve anonimliğin ne kadar kırılgan olduğunu ve dikkatli olmadığınızda bunları sürdürmenin ne kadar zor olduğunu gösteriyor.

Özetlemek gerekirse, gizliliğinizi ve anonimliğinizi sürdürmenin ana zorlukları şunlardır:

• Kontrol edemediğiniz hizmet sağlayıcılarınıza yönelik dış veri ihlalleri
• Sizi kandıran sosyal mühendislik saldırıları
• Kullandığınız hizmet sağlayıcılarına yönelik hükümet gözetimi ve yasal talepler
• Kullanıcı bilgilerini toplayıp satan veri brokerliği ve profil oluşturma şirketleri
• Veri toplayıcı platformlar tarafından yapılan takip ve profil oluşturma
• Güvensiz yerlerde PII’nizi açığa çıkarmak konusunda kendinizi farkında olmamak
• Verilerinize erişim sağlayan cihaz ve uygulama izinleri
• Birden fazla platformda profillerinize ve aktivitelerinize merkezi
  erişim sağlayan SSO (Tek Oturum Açma) hizmetlerine aşırı bağımlılık
• Saldırılara daha açık olan halka açık WiFi ağları

Mobil cihazınız, uygulamalardan veri toplama ve birleştirme konusunda özellikle suçludur. Google hizmetleri gizlilik için kötü olarak bilinir, ancak belli bir noktadan sonra yapabileceğiniz pek bir şey yoktur, GrapheneOS veya CalyxOS gibi özel bir işletim sistemi kurmaktan başka.
Tavsiyem, Brave veya Librewolf gibi özel bir tarayıcı almak, DuckDuckGo gibi daha anonim bir arama motoru kullanmak (yüklenme süreleri ve arama sonuçları kalitesini etkileyecektir), Proton gibi özel bir e-posta sağlayıcıya geçmek ve WhatsApp veya Telegram gibi uçtan uca şifreli mesajlaşma uygulamaları seçmektir.

Söylemeye gerek yok, belirli bir kodla yaşamalısınız – PII’niz internette sahip olduğunuz en önemli varlıktır. Her gittiğiniz yerde onu rahatça açığa çıkarmayın.

Gizlilik ve Anonimlik Hakkındaki Artan Endişeler

Kullanıcılar arasında gizlilik, güvenlik ve anonimlik konusunda artan bir endişe var. Sayılar, tüketicilerin 2023’te 2022’ye göre güvenlik konusunda daha fazla endişe duyduğunu gösteriyor.

Aşağıdaki tüm veriler için Deloitte’un bir çalışmasını kullanacağım, dolayısıyla tam resmi görmek isterseniz, çalışmalarını okuyabilirsiniz.

İşte 2023 keşiflerinin bir özeti:

• 6/10 katılımcı, cihazlarının veri ihlallerine karşı savunmasız olduğundan endişe duyuyor
• 6/10 katılımcı, insanların veya kuruluşların cihazları üzerinden kendilerini takip edebileceğinden endişeleniyor
• %67 akıllı telefon kullanıcısı, telefonlarındaki veri gizliliği ve güvenliği konusunda endişeli
• %62 akıllı ev kullanıcısı, akıllı ev cihazlarındaki gizlilik ve veri güvenliğinden endişe duyuyor
• %52 akıllı ev kullanıcısı, birisinin akıllı ev cihazlarını uzaktan kontrol edebileceğinden endişeleniyor
• %48 akıllı saat/fitness takipçisi kullanıcısı, cihazlarındaki gizlilik ve veri güvenliğinden endişeleniyor
• 6/10 katılımcı, akıllı telefonlarının veya akıllı ev cihazlarının hareketlerini ve davranışlarını takip ettiğinden endişeli
• 5/10 akıllı saat ve fitness takipçisi kullanıcısı, cihazlarının konumlarını takip ettiğinden endişeleniyor
• %0.33 katılımcı, 2022’de en az bir tür dolandırıcılık veya veri ihlali bildirdi ve %16’sı en az iki dolandırıcılık olayına maruz kaldı
• %7 daha fazla tüketici, 2022’ye göre cihazlarındaki konum tabanlı hizmetleri kapattı (toplamda %39 tüketici)
• %4 daha fazla tüketici, 2022’ye göre uygulama ve hizmetler için 2FA (İki Faktörlü Kimlik Doğrulama) uyguluyor (toplamda %38 tüketici)
• %3 daha fazla tüketici, 2022’ye göre güvenliklerini artırmak için araçlar kullanıyor (toplamda %25 tüketici)
• Değişiklik yok, 2022’ye göre cihazlarında Bluetooth’u kapatan kişi sayısında (toplamda %23 tüketici)
• %3 daha fazla tüketici, 2022’ye göre VPN kullanıyor (toplamda %21 tüketici)
• Değişiklik yok, 2022’ye göre gizlilik/güvenlik endişeleri nedeniyle bir uygulamayı kullanmayı bırakan kişi sayısında (toplamda %20 tüketici)
• Değişiklik yok, 2022’ye göre sosyal medya hesaplarını durduran veya silen kişi sayısında (toplamda %15 tüketici)
• Değişiklik yok, 2022’ye göre takip engelleme yazılımı kullanan kişi sayısında (toplamda %15 tüketici)
• %5 daha fazla tüketici, 2022’ye göre sosyal medya dışındaki hesapları sildi (toplamda %14 tüketici)
• Değişiklik yok, 2022’ye göre kredi skorlarını donduran veya kredi izleme hizmetlerine kaydolan kişi sayısında (toplamda %14 tüketici)
• Değişiklik yok, 2022’ye göre şifreli mesajlaşma hizmetleri kullanan kişi sayısında (toplamda %11 tüketici)
• %5 daha fazla tüketici, 2022’ye göre kendilerini takip etmeyen bağlantılı cihaz satın aldı (toplamda %9 tüketici)
• Değişiklik yok, 2022’ye gö
  re bir cihazı tamamen kullanmayı bırakan kişi sayısında (toplamda %4 tüketici)
• Değişiklik yok, 2022’ye göre bağlantılı bir alternatife karşı bağlantısız bir cihaz satın alan kişi sayısında (toplamda %3 tüketici)
• %9 daha az tüketici, çevrimiçi hizmet ihtiyacının veri gizliliği endişelerinden daha ağır bastığını düşünüyor
• %34 tüketici, şirketlerin çevrimiçi hizmetlerden topladıkları verilerin toplanmasını ve kullanılmasını açıkça belirttiğini düşünüyor
• 9/10 tüketici, şirketlerin kendilerinden topladığı verileri görüntüleme ve silme kontrolünün kendilerinde olmasını istiyor
• %80 tüketici, verilerinden kar elde eden şirketlerin kendilerine ödeme yapmasını istiyor
• %85 tüketici, cihaz üreticilerinin sattıkları cihazlardaki veri gizliliği ve güvenliğini daha fazla koruma çabasında olmalarını istiyor
• %77 tüketici, hükümetin şirketlerin verileri toplama ve kullanma şekilleri hakkında düzenleyici çabaları artırmasını istiyor

İnsanlar, korumasız bir şekilde internette gezmenin risklerinin giderek daha fazla farkına varıyorlar. Siber suçlar rekor düzeyde arttı ve veri ihlalleri hepimizi etkiliyor. Artık güvende değiliz ve bununla ilgili bir şeyler yapma zamanı geldi!

Sonuç

Artık gizliliğin ve anonimliğin çevrimiçi kimliğinizi nasıl tanımladığı hakkında daha iyi bir anlayışa sahip olmanızı umuyorum. Bu iki kavramın size nasıl uygulandığına dair yanlış beklentileriniz, çevrimiçi kimliğinizi ciddi şekilde etkileyebilir ve hatta sizi riske atabilir.

Hatırlamanız gereken anahtar noktalar:

1. Çevrimiçi tamamen gizlilik ve anonimlik elde etmek imkansızdır
2. Gizlilik, verileriniz üzerinde kontrol sağlar. Kimin görebileceğine, erişebileceğine, toplayabileceğine ve kullanabileceğine siz karar verirsiniz (teorik olarak en azından)
3. Anonimlik ilüzyon ve hile anlamına gelir. Ya PII’nizi (Kişisel Tanımlayıcı Bilgiler) mümkün olan en düşük seviyeye indirirsiniz ya da gerçek kimliğinizi saklamak için sahte bir çevrimiçi kimlik oluşturursunuz
4. Gizliliği anonimlikten daha zor elde etmek ve sürdürmektir
5. Varsayılan olarak, çevrimiçi olduğunuzda neredeyse sıfır anonimlik ve gizliliğe sahipsinizdir
6. Anonim olmak, gizliliğe göre daha aktif bir yaklaşım ve çevrimiçi yaşam tarzında bir değişiklik gerektirir
7. Gizlilik ihlalleri, genellikle anonimlik ihlallerinden daha tehlikelidir
8. Veri gizliliğinizi ve anonimliğinizi korumak için kendinizi bilinçlendirmek ve eğitmek gereklidir

Bu, benim için bile aydınlatıcı bir çalışma oldu. Eylemsizlik için zaman çoktan geçti ve herkesin gizlilik ve anonimliğini ciddiye almasını gönülden tavsiye ediyorum!
Kaynaklar

ProofPoint – Global Siber Güvenlik Farkındalık Anketi, ABD’deki Katılımcıların %33’ünün Kimlik Hırsızlığına Maruz Kaldığını, Küresel Ortalamadan İki Kat Fazla Olduğunu Açıklıyor

Europa – Eurobarometer

Federal Ticaret Komisyonu – Tüketici Sentinel Ağı

ID Theft Center – ITRC 2017 Kimlik Hırsızlığı ve Dolandırıcılık Tahminleri

Exploding Topics – 2024 İçin 30+ Kimlik Hırsızlığı İstatistiği

Association Secure Transactions – Avrupa’da Terminal Dolandırıcılık Saldırılarının Artışı

Trend Micro – İş E-postası Kompromisi (BEC)

Europa – Veri Kontrolörü veya Veri İşleyici

NY Times – Cambridge Analytica ve Facebook: Skandal ve Şimdiye Kadarki Sonuçlar

CBS News – Silk Road’ın arkasındaki beyin FBI tarafından nasıl ele geçirildi

Forbes – Yeni Hack Yöntemi Güncellemesinden Sonra Neden LastPass Kullanmayı Bırakmalısınız?

The Hacker News – KeePass Açığı, Saldırganların Ana Parolaları Bellekten Kurtarmasına İzin Veriyor

Privacy Affairs – 2023’te Dünya Çapında En Büyük Siber Güvenlik Saldırıları

LastPass – Olay 2 – Saldırının Ek Detayları

Deloitte – Veri gizliliği ve güvenlik endişeleri artarken, güven düşüyor