Twitter gibi saldırıya uğrayabilir misiniz?

Sanat: Diego Aguirre Twitter'ın Google Apps'ına giren ve 300'den fazla özel şirket belgesini çalan Fransız hacker, bunu nasıl yaptığını ayrıntılı olarak açıkladı. TechCrunch'a göre, Hacker Croll ismiyle geçen adam, "çatlama" olarak bilinen bir yöntemi kullanarak, Web güvenliğini halka açık bilgilerle troll ederek Twitter güvenliğini bozmayı başardı. Sonunda, Croll bir çoğumuzun suçlu olduğunu tespit etti - her şey için bir şifre kullanmak - ve Twitter'ın güvenliği tehlikeye atıldı. Hacker Croll'un bunu nasıl yaptığını görmek için okuyun ve dijital yaşamınıza erişiminizin yöntemlerine göre ihlal edilip edilemeyeceğini düşünün.

Crack Twitter'da Geçin

Hacker Croll, bu şirkette hedef şirketinin bir profilini oluşturarak başladı.. Temel olarak, çalışanların listesini, şirket içindeki pozisyonlarını ve ilişkili e-posta adreslerini bir araya getirdi. Temel bilgiler biriktikten sonra, Croll her çalışan için doğum tarihi, evcil hayvan isimleri ve benzerleri için küçük bir profil oluşturdu.

Croll bu profilleri yarattıktan sonra, biri düşene kadar kapıları çalmaya başladı. Tam olarak bir Twitter çalışanının kişisel Gmail hesabı için bir şifre kurtarma işlemi yaptığında ne oldu. Croll, bu kişinin Gmail’ine eklenmiş ikincil hesabın bir Hotmail hesabı olduğunu keşfetti. Sorun, Hotmail hesabının uzun süredir yürürlükte kalmaması nedeniyle Hotmail hesabının silindiği ve geri dönüştürüldüğüydi. Şimdi, tüm Hacker Croll'in yapmak için Hotmail hesabını yeniden kaydettirdi, geri döndü ve Gmail şifre kurtarma işlemini yaptıktan sonra, Gmail şifre sıfırlama bilgilerini doğrudan kötü adama gönderdi.

Ama henüz bitmedi. Gmail, Hacker Croll'den Twitter çalışanının kişisel e-posta hesabının şifresini sıfırlamasını istedi. Ama şimdi asıl kullanıcı hesaplarından çıkmıştı, ki bu açık bir kırmızı bayrak gönderiyordu. Dolayısıyla, tüm Croll yaptıkları kişinin diğer aktif hizmetlerinden şifreler için Gmail hesabının kendisiydi. Daha sonra bulduğu yaygın olarak kullanılan bir parola girdi ve kişinin hesabını normal olarak kullanmaya başladığını görmek için bekledi. Şimdi Croll, Gmail hesabına perde arkasından erişebildi ve tespit edilemeyen bilgilere erişebildi. Hayatı daha da istekli hale getiren Twitter çalışanı, işinde ve kişisel hesaplarında aynı şifreyi kullandı, böylece bilgisayar korsanı artık her ikisine de erişebildi ve gerisi de tarihti.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Aynı çatlağa karşı savunmasız mısınız?

Croll'un yöntemleri hakkındaki endişe verici şey, herkesin başına gelebilecekleridir. Geçen hafta kendi Google hesabımı kontrol ettim ve Twitter çalışanının güvenlik sınırını

'a açık olduğumu keşfettim. Gmail hesabımı çok uzun zaman önce kaydetmiştim, ikincil e-posta adresim hakkında her şeyi unutmuştum. Tıpkı Twitter çalışanı gibi, Google Hesabıma ekli ikincil e-postalar geçersizdi ve muhtemelen herkes tarafından yeniden kaydolarak açıldı. O zamandan beri değişti. Ayrıca kullandığım şifreler için kendi e-postamda bir arama yaptım ve kaç sonuç döndüğüne hayran kaldım. En yaygın şifrelerinizi kullanarak e-posta hesabınızda arama yapın ve nelerin döndüğünü görün. Şaşırmış olabilirsiniz.

Fakat bir bilgisayar korsanının bilgilerinizi alabileceği başka birçok yol var. Hiç Twitter gibi bir kamu hizmetinde Happy Birthday tebrik aldınız mı? Telefon numaranızı veya başka herhangi bir bilgiyi bu şekilde hiç yolladınız mı? Sosyal ağ sitelerinizde hangi bilgiler oturuyor? MySpace ve Facebook hesaplarınız kapalı mı, yoksa sizi arayanları kim görebilir? Facebook sayfanızın doğum tarihiniz, gittiğiniz son okullar, evcil hayvanınızın adı var mı? Annenizin kızlık soyadı - ortak bir güvenlik sorusu - sosyal ağ hesabınız üzerinden keşfedilebilir mi? Kullandığınız diğer hizmetler sayısız? Birisinin bu bilgiyi bulabileceği ihtimalini düşünmüyorsanız, Pipl veya Spokeo gibi sözde "Deep Web" arama motorlarında kendinizi aramayı deneyin ve ne olduğunu görün. Tamamen unuttuğunuz çevrimiçi hesapları bulabilirsiniz.

Webmail Security Benzer

Diğer bir problem, büyük e-posta servislerinin çoğunun Google’a benzer kurtarma yöntemleri kullanmasıdır. Hotmail neredeyse tamamen Gmail ile aynı. Yahoo daha da kolay, çünkü Yahoo'ya ikincil e-posta hesabınıza erişemeyeceğinizi söylerseniz gizli bir soruyu yanıtlayabilirsiniz. Bu güvenlik önlemleri bir öğrencinin geçen yıl Alaska Gov. Yahoo Mail'in kurtarma sayfamdaki testlerimde, Yahoo Mail gizli sorularımı tahmin etmek için sınırsız sayıda fırsat gibi görünüyor. AOL Mail daha iyi değildir, çünkü ikincil e-postanızı girme seçeneğiniz vardır (bunu bilmek veya tahmin etmek zorundasınız) ya da tam doğum tarihinizi ve ayrıca Posta kodunuzu AOL ile dosyaya girebilirsiniz. Zip kodu bariyeri, birisinin içeri girmesini zorlaştırır, ama hiçbir şekilde imkansız değildir.

Eğer Twitter'ın aynı kusurlara açık olduğunuzu keşfettiyseniz, bunu uyandırma çağrınızı düşünün. Çeşitli çevrimiçi hesaplarınızdaki güvenlik ayarlarını düzenli olarak kontrol etmelisiniz, böylece yıllar önce girdiğiniz şeyi unutmak çok kolay olduğundan güvenlik bilgilerinizin kontrolünde kalmaya devam etmelisiniz. Birincil e-posta adresinize bağlı ikincil e-posta hesaplarına özellikle dikkat edin; güvenlik sorularına sahte bir cevap (sadece hatırladığınız) vermeyi düşünün; ve kendi şifrelerinizi ya da GRC ya da Strong Password Generator gibi rastgele bir şifre üreticisi ile şifrelerinizi düzenli olarak değiştirin. Ayrıca, sadece bir veya iki şifre kullanıp, Clipperz, KeePass veya Yubico gibi şifre yöneticilerini kullanarak bilgilerinizi hatırlayabiliyordunuz. Ancak belki de en önemlisi, kendi web posta hesaplarınızda kullandığınız en yaygın şifreleri arayın ve bu mesajları silin. En kötüsü olursa ve hesabınız tehlikeye girerse, yaptığın için çok sevineceksin.