Instagram veri sızıntısı mı? “Şifreyi Sıfırla” konusunda kafa karışıklığı

Aniden gelen kutunuzda bu e-posta belirir; Instagram'dan gelir. Mesajda “Instagram şifrenizin sıfırlanması yönünde bir talep aldık” yazıyor. Bunun altında yeni bir şifre seçmek için tıklamanız gereken büyük mavi bir düğme var.

Sorun: Bu e-posta son birkaç gün içinde Instagram kullanıcılarına yüz binlerce kez gönderildi, ancak çok azı gerçekten şifre sıfırlama talebinde bulundu.

Bu bir güvenlik sorunu mu? Bir hack ya da veri sızıntısı mı vardı? Bu konuda farklı bilgiler dolaşıyor.

İddiaya göre internetteki milyonlarca kullanıcıya ait veriler

Günlerdir sosyal medyada acil uyarılar dolaşıyor: Threads meta platformundaki paylaşımlara göre, bu tür e-postaları alan herkes bir phishing saldırısından etkilenmiş olabilir ve oturum açma verilerini derhal değiştirmesi gerekir. Siber güvenlik şirketi Malwarebytes Cuma günü daha spesifik hale geldi: Instagram'da 17,5 milyon kullanıcıyı etkilediği iddia edilen bir veri sızıntısı keşfetti.

Müşterilere gönderilen bir e-postaya göre veriler, şirketin karanlık ağ izlemesinin bir parçası olarak keşfedildi. Sızan kullanıcı bilgileri hacker forumlarında zaten serbestçe paylaşılmıştı ve aşağıdaki verileri içeriyordu:

• Kullanıcı adları
• Tam isimler
• E-posta adresleri
• Telefon numaraları
• Kısmen fiziksel adresler
• Daha fazla iletişim bilgileri

Ancak çalınan şifrelere ilişkin herhangi bir bilgi bulunmuyor.

Veriler nereden geliyor?

Güvenlik şirketi, verilerin potansiyel olarak kimlik hırsızlığı ve kimlik avı amacıyla kullanılabileceği konusunda uyarıyor. Ancak: Muhtemelen şifre sıfırlama işlevini kullanarak Instagram hesaplarını ele geçirmek için de kullanılabilirler. Bu, örneğin bilgisayar korsanının kullanıcının e-posta adresine erişimi olması durumunda mümkün olabilir.

Şirketin ayrıca bildirdiğine göre, çalınan verilerin 2024 yılındaki bir sızıntıdan kaynaklandığı söyleniyor. “Solonik” takma adlı bir bilgisayar korsanı, bunu 7 Ocak'ta bir darknet forumunda ücretsiz olarak sundu. İddiaya göre 17 milyondan fazla veri kaydı var ve dünya çapındaki kullanıcıların etkilendiği söyleniyor.

Uzman dergisi “Cyberinsider” verilere bir güvenlik açığından erişilmiş olabileceğinden şüpheleniyor. Ancak bu açığın Instagram'ın kendisinde mi yoksa üçüncü taraf bir sağlayıcıda mı olduğu belli değil.

Instagram veri ihlalini yalanladı

Meseleyi şüpheli kılan şey şu: Instagram'ın kendisi de bu iddia edilen veri sızıntısı hakkında hiçbir şey bilmek istemiyor. Olayın duyulmasının ardından Meta Grup'a ait hizmet, hafta sonu sosyal medyada kısa bir açıklama yayınladı. Şöyle diyor: “Üçüncü tarafların bazı kullanıcılar için şifre sıfırlama e-postası talep etmesine izin veren bir sorunu düzelttik.” Ve: “Sistemlerimizde herhangi bir güvenlik ihlali yoktur ve Instagram hesaplarınız güvende. Bu e-postaları görmezden gelebilirsiniz; bunun neden olabileceği karışıklık için özür dileriz.” Şirket başlangıçta 2024'te keşfedilen veri sızıntısının gerçek olup olmadığı konusunu açık bıraktı.

Editoryal Ağ Almanya'nın (RND) talebi üzerine Meta daha spesifik hale geldi. Bir sözcüye göre 2024 sızıntısı iddiaları yanlış. Verilerin muhtemelen daha önce rapor edilmiş bir olaydan gelebileceği veya sahte veriler ya da kamuya açık bilgiler olabileceği belirtildi.

Her durumda, veri setinin şifrelerin sıfırlanmasıyla ilgili mevcut e-postalarla hiçbir ilgisi yoktur. Bu e-postalar Instagram'ın yaptığı bir hata nedeniyle yanlışlıkla gönderildi; bu bir kimlik avı saldırısı değildi.

Şirketin raporları bu kadar net bir şekilde reddetmesi anlaşılabilir: Şirket, güvenlik olaylarıyla defalarca manşetlere çıktığı için meta aylardır daha fazla inceleme altında. İrlanda veri koruma kurumu 2024 yılında kendisine 251 milyon euro para cezası vermişti. Bu bağlamda itibarı ciddi şekilde zedelendi.

2021'den bu yana Facebook kullanıcıları büyük bir veri sızıntısından rahatsız oluyor. O dönemde 533 milyon kullanıcının telefon numarası ele geçirildi. Facebook'un “Arkadaş Ekle” işlevindeki bir hata, isteğe bağlı sayıların istenmesine izin veriyordu. O zamandan beri, etkilenenler spam aramaları ve şüpheli SMS mesajları alıyor.

Viyana Üniversitesi'ndeki araştırmacılar ancak sonbaharda WhatsApp sohbet hizmetinde bir güvenlik açığı keşfettiler. Buna göre 245 ülkede 3,5 milyar aktif hesaptan saatte 100 milyondan fazla telefon numarası sorgulanabilecek. Sorunun nedeni Meta'nın güvenlik eksikliğiydi, özellikle de sorgularda bir sınırın olmaması.

Tüm verileri vermeyin

BT uzmanı Florian Dalwigk sonbaharda RND'ye güvenlik açısından Meta'ya yetişme ihtiyacı gördüğünü söyledi. Artan vaka sayısı, “Meta'nın geçmişte tasarım gereği gizlilik ilkelerinin sıkı bir şekilde uygulanmasından ziyade işlevsel ve büyümeye yönelik yönlere daha fazla önem verdiğini” gösterebilir. BT ilkesi “Tasarımdan Dolayı Gizlilik”, veri korumasının geliştirmenin başlangıcından itibaren dikkate alınması gerektiği anlamına gelir; daha sonra değil. Hatta Meta'nın eski siber güvenlik yöneticisi, şirketin güvenlik açıklarını göz ardı ettiği ve dolayısıyla milyarlarca kullanıcıyı tehlikeye attığı iddiasıyla Eylül ayında Kaliforniya'daki eski işverenine karşı dava bile açmıştı.

Mevcut raporların doğru olup olmadığına bakılmaksızın: Özellikle meta hizmetlerde tekrarlanan olaylar göz önüne alındığında, genellikle kendi veri korumanıza daha fazla dikkat etmeniz önerilir. Örneğin, özel telefon numaranızı mutlaka Facebook ve Instagram'da saklamamanız ve oturum açmak için tek kullanımlık bir e-posta adresi kullanmanız da mümkün olabilir. Artık birçok e-posta hizmeti, takma ad adresleri oluşturma seçeneğini sunuyor. O zaman gerçek adresi vermenize gerek kalmaz, ancak yine de tüm önemli e-postaları aynı posta kutusuna alırsınız.

Şifreyi değiştirin ve iki faktörlü kimlik doğrulamayı etkinleştirin

Mevcut durumda güvenli tarafta olmak istiyorsanız bazı önlemler de alabilirsiniz. Yakın zamanda şüpheli e-postalar aldıysanız genellikle Instagram şifrenizi değiştirmeniz önerilir. Ancak bunu e-postalardaki bağlantılar aracılığıyla değil platformun kendisi üzerinden yapmalısınız. Bu şekilde bir kimlik avı saldırısına maruz kalmayacağınızdan emin olabilirsiniz.

İki faktörlü kimlik doğrulamanın ayarlanması da önerilir. Mümkünse kendi cep telefonu numaranızı değil, iki faktörlü bir uygulamayı kullanmalısınız çünkü bu işlem çok daha az güvenlidir. Güvenli iki faktörlü uygulamalar arasında Google veya Microsoft'un kimlik doğrulama uygulamaları veya Authy veya Proton Pass gibi daha küçük sağlayıcıların uygulamaları bulunur.

Malwarebytes ayrıca web sitesinde bir kontrolü de etkinleştirdi. Buraya e-posta adresinizi girebilir ve veri sızıntılarında görünüp görünmediğini öğrenebilirsiniz. Alternatifler arasında haveibeenpwned web sitesi ve Hasso Plattner Enstitüsü'nün Kimlik Sızıntısı Denetleyicisi yer almaktadır.