Haberin İngilizcesi için tıklayın
Aralarında Forbes, UNICEF USA, Amnesty International (Af Örgütü), ABD’deki Duke Üniversitesi, Almanya Futbol Ligi (Bundesliga) ekiplerinden Borussia Dortmund'un da olduğu çok sayıda Twitter kullanıcısının hesabı #NaziHollanda etiketiyle ele geçirildi.
Ben de bu hesaplardan biri oldum.
Hesabımdan iki tweet paylaşıldı.
Bunların içeriklerinde #NaziHollanda etiketi, Uğur Işılak tarafından, Arslanbek Sultanbekov'un Dombıra şarkısından “uyarlanarak” Cumhurbaşkanı Recep Tayyip Erdoğan’ın Cumhurbaşkanlığı seçimlerinde kullandığı seçim şarkısı eşliğinde yine Erdoğan görüntülerinin olduğu bir video ile “Nemi yazdım [Türkiye bayrağı görseli] Türkçe ÖĞREN” yazısı vardı. Soru eki –mi’yi ayrı yazamayan birinin “Türkçe Öğren” demesindeki anlamsızlığı bir yana bırakıyorum.
Söz konusu kişi profil fotoğrafımı Osmanlı Devleti’ne ait bir arma*, kapak fotoğrafımı ise Türkiye bayrağı ile değiştirdi.
Ama nasıl hesabım ele geçirildi? Ben ki, konforum el verdiğince, güvenlik önlemlerini dikkate alıyorum.
* 19 karakterden oluşan, içinde büyük harf, küçük harf, rakam ve karakter bulunan bir şifreye sahibim.
* Kişisel bilgisayarım, ofis bilgisayarım (o da kişisel) ve cep telefonum dışında hiçbir cihazda Twitter hesabımın şifresi kayıtlı değil.
* Şifremi yaklaşık iki ay önce değiştirdim.
* Spam mesajlarına, kimden geldiği anlaşılmayan e-postalara (kolaylıkla gönderen kısmından kontrol edebilirsiniz) tıklamıyorum.
* Ancak bilinen, onaylı uygulamalara Twitter hesabıma erişim izni verdim. Yani URL’leri kısaltmak için kullanılan bitly, telefondan hesaba girmemi sağlayan Twitter for iOS ya da Twitter etkileşimimi kontrol etmeme yardımcı olan Twitter Counter gibi uygulamalar.
Nasıl oldu?
Peki ne oldu?
Öncelikle ben hesabımın “ele geçirildiğinin” farkına varmadan bianet’ten "Evlilik Programlarının Yasaklanması Elitist Bir Müdahale Olur" haberiyle Harry Potter’dan Fred Weasley karakterine ait bir “hayran-kurgusu”nu paylaşmıştım.
Ve hemen şifremi değiştirebildim.
Yani şifrem değiştirilmemişti.
Bu durumu ilk olarak bilişim hukukçusu Serhat Koç’a sordum. Koç, bu önlemleri aldıysam, “Sniffer” ile şifremin ele geçirilmiş olabileceğini söyledi.
Sniffer, wikipedia’ya göre Türkçeye “Paket çözümleyicisi” olarak geçmiş olan, ağlar üzerinden internet trafiğine ve analizle şifreye erişilmesini sağlayan websitesi içine gizlenmiş bir yazılım.
Ayrıca, benzer yazılımların dizi siteleri gibi birçok siteye gömülü olduğunu, aslında kullanıcı trafiği için sitelerce kullanılan bu yazılımla elde edilen bilgilerin, üçüncü partilerce kötü niyetle kullanılabileceğini ekledi.
Tam donanımlı bir antivirüs programı ile cihazlarımı temizlemem gerektiğinin altını çizdi.
Sebep: Twitter Counter
Hesapların nasıl ele geçirildiği ise sonradan ortaya çıktı. Teknoloji sitesi Engadget’ın haberine göre, Twitter Counter uygulamasının hacklenmesi ile hesaplardan bu tweetler atılabildi.
Guardian’ın haberine göre, Twitter da saldırıyı onayladı, “Hızla kaynağını öğrendik, üçüncü parti bir uygulamadan kaynaklandığını tespit ettik. İzinlerini hemen kaldırdık” açıklaması yaptı.
Twitter Counter’in yöneticisi Omer Ginor, “Durumun farkındayız. Soruşturma başlattık. Olayın bizim sistemimiz kullanılarak yapıldığı sonucuna vararak gerekli önlemleri aldık” açıklaması yaptı. Ginor “Kullanıcılarmızın Twitter hesabı şifrelerini ve kredi kartı bilgilerini depolamıyoruz” diye ekledi.
Kıssadan hisse: Uygulama izinlerini kaldırın
Tabii, Star’ın “Türk hackerlardan büyük 'Nazi operasyonu'” başlığıyla verdiği gibi bir “hacklenme” ya da Hürriyet’in “Türk hacker'lar ele geçirdi... Reuters duyurdu!” haberinde adlandırdığı gibi bir “ele geçirme” söz konusu değil.
Türk hackerlar, evet Twitter Counter’ı hackledi, ki bu vesileyle öğrendik ki, aynı olay bu uygulamanın daha önce de başına gelmişti.
Ancak kullanıcı hesapları üzerinde şifre değiştirme, el koyma, mesajlara erişme gibi bir “ele geçirme” operasyonu söz konusu değil.
Bu nedenle önceden sıraladığım güvenlik önlemleri hala daha uygulanması gerekeni geçerliliğini koruyan önlemler. Buna bir de “Üçüncü partilere kesinlikle hesabınıza erişim izni vermeyin” maddesi eklendi. (EA)
* Bu arada, söz konusu hacker grubunun kullandığı arma Prens Charles Young ismindeki bir İngiliz tarafından tasarlanmış. Osmanlı Devleti’nde kabul edilen ilk yabancı nişan olma özelliğini taşıyor.
