Yahoo veritabanı yol geçen hanına dönmüş

Yahoo, 1 milyar kullanıcısına ait hesap bilgilerinin çalındığını duyurdu bugün. Olay Ağustos 2013 tarihinde gerçekleşmiş ve ancak bugünlerde farketmişler.

Yahoo Eylül ayında da 500 milyon üyesinin hesap bilgilerinin ele geçirildiğini duyurmuştu. Bu ikisi birbirinden bağımsız iki gelişmeymiş. Diğer bir ifadeyle, Yahoo güvenlik açısından rakiplerine göre biraz daha zayıf bir plaftfrom imajı verecek.

Olayın vahametini artıran durum, firmanın sadece 3,5 yıllık hadisenin ayırdına şimdi varması değil, bunu nasıl yaptıklarını çözememiş olması. Diğer bir ifadeyle, bir açık kapı var ve bu kapının nerede olduğunu bilen yok. İlk çalanlar, ihtiyaç duyarlarsa yine girip alabilirler.

Şirketin baş bilgi güvenliği yöneticisi (chief information security officer) Bob Lord, “Hırsızlıkla ilintili sızmayı tespit edemedik,” ifadelerini kullandı üyelere geçtiği bilgilendirme duyurusunda.

Neler çalındı?

Kullanıcı isimleri ve email adresleri en başta geliyor. Telefon numaralarınızı verdiyseniz onlar da çalınmış oluyor. Doğum tarihleriniz de cabası. Şifreler ele geçmiş ve bazı durumlarda (ne kadar bazı bilinmiyor) şifrelenmiş veya şifrelenmemiş güvenlik soruları, cevaplarıyla birlikte hırsızların data belleklerine aktarılmış. Bütün bu bilgiler, reklam verenler açısından cüzi bir bedelle erişilebilir bulunmaz bir sermaye.

Yahoo’nun MD5 hesaba dayalı adresleme algoritması kullanması eleştiri konusu. MD5 hashleri içine gömülü şifreler, bazı web uygulamalarıyla sadece internet tarayıcıları kullanılarak bile kolayca tespit edilebiliyor.

Yahoo, kullanıcılarına bir mail atarak, lütfen şifrelerinizi değiştirin diyecek. Peki ya isimler, telefonlar ve mailler. Asıl çalınan ve anlamı olan bilgiler onlar.

Bir vaka daha

Şirket, ayrıca, kendi özel kodunun da hacklendiğini duyurdu bugün. Hackerın biri, Yahoo’nun tescilli kodunu, kullanıcıların şifre bilgisi gerekmeksizin hesaplarını çalabilecek çerezler yerleşetirecek şekilde kırmış. Yapanın devlet destekli biri olduğunu söylüyor Lord. Hangi devlet veya kim yapmış, biblgi yok.

Reuters’ın geçen Ekim ayında geçtiği bir haberde, Yahoo’nun, Amerikan istihbarat ajanslarından gelen talepler doğrultusunda, bütün emailleri belli anahtar kelimelere göre tarayacak bir eklenti kullandığı ortaya çıkmıştı. 2015 yılı başından itibaren uygulanıyormuş.

Bir zamanların en büyük web ve arama motoru hizmetleri sunucusu, kullanıcıların güvenini ve haberleşme gizliliğini tehlikeye atacak bilinçli veya ihmal kaynaklı sürçmeleriyle, zaten zayıf olan tabanını daha da zayıflatıyor.
1 Comment

Leave a Reply