Mahremiyet kabusu: Yüz arama motoru

Siber güvenlik şirketi Trustwave sosyal ağlarda isim ve fotoğraf eşleştirmesi yaparak kullanıcıların profil bilgilerini toplayabilen bir araç geliştirdi.

Haber Özeti

Tam Sürüm

Siber güvenlik şirketi Trustwave sosyal medya platformlarında isim ve profil fotoğrafı eşleştirmesi yaparak çok sayıda insanın profil bilgilerini toplayabilen açık kaynaklı bir araç geliştirdi.

Şirket Social Mapper adını verdiği bu aracın sızma testleri gerçekleştiren kişiler tarafından kullanılacağını söylüyor. Sızma testlerinde güvenlik şirketleri, müşterileri olan firmaların çalışanlarını kandırarak bilgisayarlarına erişim izni almaya çalışıyor. Bu şekilde şirketin güvenlik açıkları tespit ediliyor. Güvenlik şirketi, gerçek saldırganların çalışanları nasıl kandıracağını göstererek bu tarz saldırılara karşı önlem alınmasını sağlıyor.

Trustwave Tehlike İstihbaratı Müdürü Karl Sigler “Araç ihtiyaçtan dolayı geliştirildi. Yıllar içinde karşılaştığımız bir çok saldırı ve sızma tekniğini incelediğimizde ilk izlerin bizi sosyal mühendislik saldırılarına götürdüğünü gördük.” diyor.

İsim ve yüz eşleştirme aracı

Social Mapper kullanıcıları bir sosyal medya sitesinde kullandıkları kullanıcı adı ve şifreyi uygulamaya sunduktan sonra hedeflenmesini istediği kişilerin adını ve fotoğraflarını içeren bir dosya sunuyor. Araç daha sonra Facebook, LinkedIn, Instagram, VKontakte ve Weibo gibi belirli sosyal ağlara bağlanarak sitenin arama özelliklerini ve açık kaynaklı yüz tanıma araçlarını kullanıyor. Böylece listede adı ve fotoğrafı bulunan kişilerin profillerine erişiliyor. Eşleşme sağlandığında o kullanıcı arkadaş olarak eklenebiliyor ya da kendilerine oltalama (phishing) linkleri gönderiliyor. Ayrıca sitedeki veriler kullanılarak kişiye özel oltalama e-postaları da gönderilebiliyor.

Sigler “Tüm bu bilgileri toplamak çok inandırıcı oltalama mesajları göndermemize imkan veriyor.” diyor. Trustwave sosyal medya hesaplarını el ile tek tek incelemekten kurtulmak için bu aracı sızma testlerinde kullanıyor.

Mahremiyet sorunları oluşturabilir

Sigler “Çok karmaşık bir durum değil. Bir API kullanmıyoruz. Sadece o sosyal medyada bir hesabımız oluyor ve herkese açık bilgilere ulaşıyoruz.” diyor. Yine de bu araç kötü amaçlı olarak kullanılabileceği ya da kişilerin mahremiyetini ihlal edeceği gerekçesiyle eleştiriliyor. Kuzey Kaliforniya Amerikan Sivil Özgürlükler Birliğinden teknoloji ve sivil haklar avukatı Matt Cagle “Böyle bir araç, sosyal medya kullanıcılarının, üçüncü parti kişilerin eline düşeceğini düşünmediği bilgileri toplayabilir. Bu tarz araçları geliştiren kişilerin, bu araçların kötüye kullanım için uygun olup olmadığını kontrol etmesi gerekir.” şeklinde konuştu.

Çoğu sosyal ağ, isim ve profil fotoğrafı gibi bilgilerin varsayılan özellik olarak görünür olmasını sağlıyor. Facebook son zamanlarda bu tarz otomatik hesap verisi toplama uygulamalarının önüne geçmek için sitede telefon numarasıyla ya da e-posta adresiyle profil arama özelliğini iptal etti. Bir Facebook sözcüsü, Trustwave ile de Social Mapper hakkında konuşmak için iletişim kurduklarını söyledi. Sözcü otomatik araçlarla Facebook’tan veri toplamanın yasak olduğunu hatırlattı.

Geçtiğimiz dönemde benzer bir uygulamayla bir hukuk mücadelesine girişmişti. Social Mapper hakkında Fast Company’nin sorularına ise LinkedIn’den yanıt gelmedi.

Sigler kötü niyetli saldırganların çoğunda zaten sistematik şekilde sosyal medya sitelerini tarayıp kişiler hakkında bilgi toplayan araçlar olduğunu söyleyerek, “Yüz tanıma yazılımları kullanarak ya da yüz fotoğraflarını tek tek inceleyerek kaynak veriyle eşleştirerek bu verilere zaten ulaşıyorlar. Social Mapper herkesin kullanımına açık olmayan herhangi bir veri kullanmıyor. Bu bir kedi fare oyunu gibi. Biz onların kullandığı tekniklerin bir benzerini uygulamaya çalışıyoruz. Geçmişte yapılmayan bir şey değil.” diyor.

Kaynak: Fast Company

Siber güvenlik şirketi Trustwave sosyal medya platformlarında isim ve profil fotoğrafı eşleştirmesi yaparak çok sayıda insanın profil bilgilerini toplayabilen açık kaynaklı bir araç geliştirdi. Şirket Social Mapper adını verdiği bu aracın sızma testleri gerçekleştiren kişiler tarafından kullanılacağını söylüyor. Sızma testlerinde güvenlik şirketleri, müşterileri olan firmaların çalışanlarını kandırarak bilgisayarlarına erişim izni almaya çalışıyor. Bu şekilde şirketin güvenlik açıkları tespit ediliyor. Güvenlik şirketi, gerçek saldırganların çalışanları nasıl kandıracağını göstererek bu tarz saldırılara karşı önlem alınmasını sağlıyor. Uygulamanın kötü niyetli kişilerin eline geçmesinden ve mahremiyet sorunları doğurmasından endişe ediliyor.

Yorum Ekle

Yorum yazmak için tıklayın

Yorumunuz:

e-Bülten Aboneliği