Rehber Haveibeenpwned ile gizlilik ve güvenliğinizi sınayın

Hopeツ︎

Profesör
Katılım
9 Mart 2016
Mesajlar
2,396
Çözümler
1
Reaksiyon puanı
2,268
Puanları
293
Yaş
27
Have-I-Been-Pwned-Sticker-2.png
Merhaba SDN iyi forumlar, ✋

Her ne kadar günlük koşuşturmaca ve stresin baskısı altında forum içindeki görevimize sembolik olarak ara vermek zorunda kalmış olsak dahi, merak etmeyin takibimizde ve radarımız içerisindeki kategori ve başlıklar altında hâlâ sizleri bilgilendirmeyi ve yardımcı olmayı kendimize bir misyon olarak görüyoruz. Bu sadece benim için değil, diğer yönetici arkadaşlarım içinde aynı şekilde geçerlidir. Uzun süre belirli bir paylaşım yapıp konu açamadığım için bunu ön bilgilendirme olarak geçmek istedim.

Velhasılıkelam asıl konumuza geri dönmek istiyorum. Bugün konumuz, haveibeenpwned olacak. Şimdi belki de içinizden diyorsunuz ki, bu ismini bile duymadığım site neyin nesi? şimdi genel hatları ile ve dilim döndüğünce bu sorunun cevabını vermeye çalışacağım sizlere.

Nedir haveibeenpwned?

Biliyorsunuz değil mi dostlarım internette gezinirken en büyük dertlerimizden biri, gizlilik ve güvenliğimizin gerçekten ehemmiyet altında olmasına dayanıyor. Eğer dayanmıyorsa burada bir problem var demektir. Bunu neden önemseriz? kendimizi bir şekilde internet mecrasında güvende hissetmeye çalışırız mantıklı olarak. Fakat, bu oturduğun yerden vay efendim şu site güzelmiş şunu indireyim, ilk defa girdim ama güzel videolar varmış şu sitede izleyeyim, ne bu uygulama ücretsiz mi? hemen sahip olayım, şu fotoğrafı indireyim, şuradan dalayım buradan çıkayım demekle olmuyor olmamalı. Bu noktada bazı şeyler devreye giriyor işte. Kontrolü sağlamak gibi, merak duygusunun artması gibi, araştırmaya bilmeye daha fazla heves duymak gibi.

Haveibeenpwned, sizin internette belirli site, kurum kuruluşlara verdiğiniz; kullanıcı adı, parola, e-mail vesaire bilgilerin ne kadar güvende olduğunu daha önce bir kişisel veri ihlaline karışıp karışmadığını test eden güvenlik üzerine kurulmuş bir web sitesi diyebiliriz. Bu sayede bu bilgileri öğrenip ona göre aksiyonlar almanızı sağlıyor. Tamam buraya kadar güzel, haveibeenpwned'ın da ne işe yaradığını öğrenmiş olduk. Peki bu öğrendiğimiz bilgiler ışığında gerekli aksiyonu nasıl alacağız?

Onu da şöyle yapıyoruz dostlarım, bunu daha iyi anlayabilmemiz açısından daha önce kendi kullandığım e-mail üzerinde örneklendirerek göstereceğim. Bunu aynı şekilde e-mail yoluyla sorgulayabileceğiniz gibi telefon, GSM yoluyla da gerçekleştirebilirsiniz bu da ek bir bilgi olarak aklınızda bulunsun.

Siteye girdiniz, sorgulamak istediğiniz e-maili ya da telefon numarasını girdiniz ve pwned? butonuna bastınız. İlk önce ilk senaryodan başlayalım. Eğer ki bu sorguladığınız adreslerinizden biri veri ihlaline karışmışsa karşınıza gelecek şey şudur;

pwnedz.png


Aşağıdaki yazıya dikkat ettiniz mi? Oh no - pwned! ile zaten bir şeylerin yolunda gitmediği aşikâr. Dikkat etmemiz gereken asıl nokta, Pwned in 3 data breaches and found no pastes kısmı. Burada söylemek istediği şey "Sorguya aldığınız adres üzerine 3 tane veri ihlali gerçekleşti ve bunları görebilirsiniz." bizim de buraya dikkat etmemiz gerekiyor. Scroll'u aşağıya kaydırdıkça asıl ulaşmak istediğimiz şeye geliyoruz.

Ekran görüntüsü_20221222_004749.png


Asıl ip burada kopuyor aslında. Fark ettiğiniz üzere 1 tane ihlal söz konusu değildi sorguladığım adres üzerinde. Sadece birisi üzerinde örneklendirmek için Gravatar'ı seçiyorum ve devam ediyorum. Paragrafta bize, Wordpress'in de kendi platformu üzerinde yer alan Gravatar servisine Ekim 2020'de gerçekleştirilen bir saldırı olduğu ve bu saldırı sonucunda serviste kayıtlı yer alan 167 milyon kişinin kullanıcı adlarının, e-mail adreslerinin, isimlerinin! ele geçirildiği ve 114 milyonunun MD5 kriptolu hashlarının kırıldığı belirli illegal mecralarda dağıtıldığı yazıyor. Okuyunca ne kadar korkunç değil mi? bakın yıllar öncesi nostalji olmuş vintage diye adlandırılacak dönemlerden bahsetmiyoruz, 2020 yılından bahsediyoruz. Bu şekilde özetleyebiliriz durum maalesef kritik. Neyse ki sorgulama yaptığım e-mail adresi çok önceden kullandığım ve yüzüne bakmadığım bir servisten alınmıştı yani halihazırda kullanıyor değilim. Peki ya kullanıyor olsaydım? üstelik kullanırken böyle bir ihlalden haberim olmasaydı? kullandığım posta adresi benim için önem taşıyor olabilirdi. Bunu iş için kullanıyor olabilirdim. İş için kullanmıyor olsam bile, belki önemli yerlerden gelecek postalar bu kullandığım servise düşecekti. İşte bunların hepsini düşünmek gerekiyor. ?

pwnedz2.png


Yeşil yeşil görünce nasıl rahatlıyor değil mi insanın içi? evet tahmin edeceğiniz üzere başka bir e-mail adresim ile sorgulama yaptım ve sorun görünmüyor. Fakat, şuraya önemli bir nokta eklemek isterim ki; Bu e-mail adresi sorgulandığında ya da telefon her ne ise sayfa size güvenli sonuç verecek, sürekli yeşil gösterecek diye bir durum yok. Eğer ki sorguladığınız o adresler internette bir saldırı (hack) sonucu ele geçirilirse yine o üstteki sayfayı görürsünüz şuna şuna karıştı diye. Evet dostlar, durum bu. Benim son olarak eklemek istediklerim var, eğer başından sonuna okuduysanız ve bir faydası olacağını düşünüyorsanız, merak ettiğiniz birkaç şey daha olmalı.

Ne yapmamız gerekiyor?

Öncelikle soğukkanlı olun. Sitelere girdiğiniz ve güvenliği ihlal edilmiş mailleriniz, telefon numaralarınız tamamen birilerinin eline geçmedi. Onlar sadece sunucu datalarından erişebildikleri bilgileri aldılar. Şöyle, belki de benim gibi bahsettiğim e-mail adresini şu an kullanmıyorsunuz belki o siteye daha önceden verdiğiniz telefon numaranızı değiştirdiniz falan filan. Ama burada dikkat edilmesi gereken nokta es geçilmemeli. Size tavsiyelerim şudur böyle bir sorunla karşılaştıysanız;

✅ Güvenliği, verisi ihlal edilmiş o sitelere gidin öncelikle (SSL sertifikası bulunuyorsa siteye giriş yapın bir anormallik sezerseniz siteye girmeyin, bu adımı atlayabilirsiniz.)

✅ Kullanıyorsanız şifresini değiştirin. Bakın şifre gerçekten güvenli olmalı, mümkünse özel karakterler kullanın. Bununla alakalı bilgiyi ve bağlantıyı aşağıda yine sağlayacağım size konu bitiminde.

✅ Şifreleriniz benzersiz olsun, iki faktörlü ve üç faktörlü doğrulamalarla güçlendirin.

✅ Bir sitede kullandığınız şifreyi diğer sitede kullanmayın farklı olsunlar.

✅ Mutlaka güvenebileceğiniz bir parola yöneticisi kullanın.

✅ E-mail adresinizi ve diğer bilgilerinizi koruma altına alın.

✅ Bahsi geçen siteye gittiniz, veri ihlali olduğunu gördünüz artık güvenmiyorsunuz ya da kullanmak istemiyorsunuz, siteden hesabınızı silin.

Şifre güvenliği hakkında detaylı bilgi edinmek için;

Şifre Kombinasyonları & Alınabilecek Önlemler

Encryption / Decryption, Hash'ler ve Kriptoloji

Bitwarden ile şifreleriniz güvende olsun!

Diğer konularıma ulaşmak isterseniz, @Hopeツ︎ yolu ile profilime ulaşıp tüm konularını bul kısmına bakabilirsiniz. Benden şimdilik bu kadar, güvenle ve SDN ile kalın. ?✋

☑️ SDN Forum adına hazırlanmıştır, alıntı değildir.
 
Son düzenleme:

Skellige

Profesör
Katılım
6 Mayıs 2020
Mesajlar
3,525
Çözümler
2
Reaksiyon puanı
3,790
Puanları
358
Genelde mobil oyunlardan çalınıyor e posta,ip vb. Bitwarden çok iyi. :cool:
 

Alanur Erdemir

vampir
Admin
Katılım
17 Şubat 2021
Mesajlar
10,781
Çözümler
132
Reaksiyon puanı
19,157
Puanları
8,557
Bir aralar toplu hesaplar patlamıştı yine aynı sitenin şeyleri çıkıyordu. Ya 2021 yada 2022 de olmuştu baya böyle haberlere falanda çıkmıştı. Yine aynısı olmaz umarım.
 

Hopeツ︎

Profesör
Katılım
9 Mart 2016
Mesajlar
2,396
Çözümler
1
Reaksiyon puanı
2,268
Puanları
293
Yaş
27
Bir aralar toplu hesaplar patlamıştı yine aynı sitenin şeyleri çıkıyordu. Ya 2021 yada 2022 de olmuştu baya böyle haberlere falanda çıkmıştı. Yine aynısı olmaz umarım.
Sık sık yaşanıyor bu veri ihlalleri yaşanmaya da devam edecek, bundan sebeple öncesinde önlem almak gerekiyor.
 
Üst