Jennifer Lawrence Hedefli Saldırı Kurbanı
Oscarlı oyuncu Jennifer Lawrence'ın özel fotoğraflarının internete sızması, dijital güvenlik konusunu bir kez daha gündeme getirdi.
Jennifer Lawrence'in özel fotoğrafları nasıl hacklenmiş olabilir?
Global antivirüs yazılım kuruluşu ESET'in Türkiye Ofisi Teknik Müdürü Erkan Tuğral, olayın bütün kullanıcılara odaklanan genel bir iCloud hacklemesinden çok, doğrudan belli kişilere yönelik hedefli bir saldırı gibi göründüğünü söyledi.
Tuğral, "Büyük olasılıkla Jennifer Lawrence uzun süre izlenmiş, mail-doğum günü, önemsediği konular-insanlar gibi kişisel bilgiler elde edilmiş ardından bunlar yap-boz gibi birleştirilerek, hesabına ve fotoğraflarına ulaşılmış" dedi.
Jennifer Lawrence'in yanı sıra 100'e yakın ünlü kişinin özel hesaplarındaki fotoğraflarının nasıl internete sızdığı konusu henüz tam netleşmedi. Amerikan Federal Araştırma Bürosu FBI'de konuya müdahil oldu ve soruşturma başlattı. Apple ise yaptığı açıklama iCloud sisteminde güvenlik açığı olmadığını duyurdu.
Sosyal mühendislik uygulaması
Söz konusu gelişmeler siber güvenlik konusunu bir kez daha gündeme getirdi. Olayı değerlendiren ESET Türkiye Teknik Müdürü Erkan Tuğral, olayda pek çok karanlık nokta olmakla beraber, konunun bir sosyal mühendislik uygulaması gibi göründüğünü söyledi.
Saldırı nasıl gerçekleştiriliyor?
Tuğral, şöyle konuştu: "Görünen o ki burada hedefli bir saldırı sözkonusu. Yani tüm iPhone kullanıcılarına yönelik genel bir iCloud hacklemesi değil. Doğrudan belli isimler hedef alınmış. Örneğin Jennifer Lawrence'in hem açık iletişim kanalları, hem de muhtemelen oltalama teknikleriyle mail, doğum tarihi, doğum yeri gibi çeşitli bilgileri elde edilmiş. Ayrıca kişisel hayatına ilişkin, belki sevdiği hayvan, tuttuğu takım, önemsediği günler gibi parola olarak kullanılabilecek bilgiler derlenmiş. Ünlü ve göz önünde bulunduğu için bu bilgilere başka kişilere göre daha kolay ulaşılmıştır. İşte sosyal mühendislik olarak nitelenen bu bilgi derleme ve değerlendirme süreci sonucunda Jennifer Lawrence'in iCloud hesap bilgilerine ulaşılmış ve hesap şifresi kırılmış olabilir. Muhtemelen aynı yöntem diğer ünlüler için de izlenmiştir."
Kişisel bilgilerinizde cimri davranın!
Erkan Tuğral'a göre, "Kişisel bilgilerinizi paylaşırken, cimri ve dikkatli davranın. Mailinizi, telefonunuzu, adresinizi herkesle paylaşmayın, şifrelerinizi – parolalarınızı açık etmeyin. Güvenlik sorusunda gerçekten sadece sizin bilebileceğiniz bir cevabı belirleyin. Ayrıca bu tür özel fotoğrafları iCloud gibi bulut ortamlarına taşımak zorunda değilsiniz. iPhone'un Ayarlar >iCloud kısmına girerek, otomatik senkronizasyonu devreden çıkarabilir ve böylece telefonu bilgisayara bağladığınız anda gerçekleşen eşleştirmeyi engeleyebilirsiniz. Ya da tüm iCloud senkronizasyonunu kapatmak yerine, Wi-fi bağlantısı olduğunda tüm fotoğrafların sorgusuz sualsiz iCloud'a atılmasını sağlayan My Photo Stream (Fotoğraf Yayınım) özelliğini kapatılabilir böylece fotoğrafların buluta taşınmasını engellemiş olursunuz."
Çift faktörlü koruma da kullanılabilir
Daha iyi korunmanın bir ekstra yönetimi de tıpkı online banka girişlerinde olduğu gibi çift faktörlü doğrulama sistemini kullanmak. Bu uygulama sayesinde, sisteme ancak cep telefonuna gelen SMS mesajıyla girmek mümkün. Yani parola çalınmış olsa bile, bu SMS şifresi olmadan hesaba girilemiyor. Apple bunu iPhone'lar için "Apple Two Step Verification" yani "Apple Kimliğinin iki aşamalı doğrulanması" olarak tanımlıyor. Bu özellik Türkiye'deki kullanıcılar için de sunuluyor.