Instagram’daki soygun soyabilir

 

EREN KOCA / HABER MERKEZİ - Kullanıcı verilerini koruma konusunda sabıkalı ABD’li Meta şirketi, kendisine bağlı Instagram’daki devasa güvenlik açığıyla bir kez daha sarsıldı. API sistemindeki denetim eksikliğini fırsat bilen saldırganlar, 17.5 milyon kullanıcının kişisel bilgilerini karanlık ağda (dark web) paylaşıma açtı. Bilgileri çalınan vatandaşları hangi tehlikelerin beklediğini uzmanlar Milliyet’e anlattı.

Siber güvenlik araştırmacıları tarafından fark edilen sızıntı, milyonlarca kullanıcıyı kimlik hırsızlığına karşı savunmasız bıraktı. Çalınan veri seti, “Solonik” takma adını kullanan bir saldırgan tarafından bir bilgisayar korsanı forumunda yayınlandı. “INSTAGRAM.COM 17M GLOBAL USERS 2024 API LEAK” başlığıyla paylaşılan ilan, JSON ve TXT formatlarında 17.5 milyon kayıt içerdiğini iddia ediyor. Forumdaki paylaşıma göre veriler, 2024 yılının sonlarında bir “API sızıntısı” yoluyla elde edildi.

KRİTİK BİLGİLER ÇALINDI

Saldırganların, Instagram’da dünya çapındaki kullanıcı profillerini veri kazıma (scraping) yöntemiyle topladığı belirtiliyor. Sızdırılan veri tabanı, şu kritik bilgileri içeriyor: “Kullanıcı adları, e-posta adresleri, telefon numaraları, kullanıcı kimlik numaraları (ID), ülke ve konum verileri.” Bu veriler, siber suçluların kapsamlı profiller oluşturmasına olanak tanıyor. Çok sayıda Instagram kullanıcısı, verilerin sızdırılmasından bu yana istenmeyen şifre sıfırlama bildirimlerinde büyük artış olduğunu bildirdi.

‘ÇALDIKLARI VERİLERLE SALDIRIYORLAR’

3.5 milyar Instagram kullanıcısı olduğunu belirten Siber Güvenlik Uzmanı Gökhan Say şunları söyledi: “META’nın veri sızıntısı konusunda karnesi kırık. 2018’de 50 milyon, 2019’da 600 milyon, 2021’de 533 milyon kişinin sızıntılarını yaşadık. Bilgilerin çalınmasıyla ilgili farklı yöntemler var. Şirketin hackedilmesi yöntemiyle veriler çalınabilir. Oltalama yöntemiyle çalınabilir. Dolandırıcılar, kendilerini Instagram destek ekibi gibi tanıtarak veya ifşa olan kişisel detayları kullanarak güven inşa edip, kurbanları iki faktörlü doğrulama (2FA) kodlarını veya giriş bilgilerini vermeleri için kandırabiliyor. Çalınan veriler, oltalama maillerinde kullanılıyor. Pek çok saldırıyı gerçekleştirebiliyorlar.”

‘MAHKEMELİK OLABİLİRSİNİZ’

Avukat Özlem Şen: “Çalınan hesaplar üzerinden yapılan paylaşımlar, mesajlar veya dolandırıcılık girişimleri, ilk bakışta hesap sahibini sorumlu gibi gösterebilir. Özellikle tehdit, hakaret, dolandırıcılık veya yasa dışı içerik paylaşımları söz konusuysa, mağdur vatandaşlar ifadeye çağrılabilir. Ancak burada önemli olan, kişinin bu fiilleri bizzat gerçekleştirmediğinin teknik ve hukuki yollarla ortaya konulabilmesidir. Yani teorik olarak bir risk vardır; ancak hukuken sorumluluk otomatik olarak hesap sahibine yüklenmez. En büyük risk, kimlik hırsızlığı ve sahte işlemlerdir. Ele geçirilen bilgilerle başkaları adına borçlandırıcı işlemler yapılabilir, sahte hesaplar açılabilir veya üçüncü kişilere zarar verilebilir. Bu durumda vatandaşlar hem ceza soruşturmalarıyla muhatap olabilir hem de uzun süren hukuki süreçlerle karşılaşabilir. Bu nedenle şifrelerin derhal değiştirilmesi, iki aşamalı doğrulamanın aktif edilmesi ve şüpheli durumlarda savcılığa başvurulması önemli.”