Facebook, Biz Hack'lenmeyelim Diye...

Facebook, kendi güvenliği arttırmak için ve aynı şifreyi birden fazla platformda kullanıyor olabilecek olan kullanıcılarını korumak için çalıntı şifre kara borsasını "trollediğini" kabul etti.

Çarşamba günü Lizbon'daki Web Summit'te konuşan Facebook'un güvenlik sorumlusu Alex Stamos, sosyal ağın nasıl çalıntı şifreleri satın aldığını ve kendi şifrelenmiş şifre veri tabanını çalıntı şifrelere karşı çalıştırdığını anlattı. Stamos bu görevi "sayısal olarak ağır" şeklinde tanımladı ancak bunun sayesinde firmanın on milyonlarca kullanıcıyı çalıntı veya güvensiz şifreler kullandıklarına karşı uyarabildiğini söyledi.

Sophos'un Naked Security blogu üzerinde de belirtildiği gibi, Facebook'un daha önce de kendi şifre veri tabanını çalıntı veri tabanları ile karşılaştırdığı biliniyordu. 2013 yılında Adobe hack'i sırasında Facebook, bu veriyi kullanarak bazı kullanıcıların her iki yerde de aynı şifreyi kullandıklarını öğrenmişti. Facebook, Adobe hesabı ile aynı şifreyi kullanan kullanıcılarının hesaplarına erişimi, güvenli bir şifre belirlenene kadar engellemekteydi. Ancak buna rağmen firmanın kendi güvenlik çalışmaları için çalıntı şifre satın alması hakkında yorum yapması ilginç bir durum.

Çalıntı şifreler genellikle internet kara borsasında satılmaktalar. Hatta genellikle veri açıklarının oluşmalarının sebebi bunlar olmakta. İnsanlar bu şifre depolarını satın alıyorlar ve buradaki kullanıcı adı ve şifreler ile sadece çalıntının yapıldığı hizmet hesaplarını değil, kullanıcıların aynı giriş elemanlarını kullandığı diğer hesaplarını da kullanabilir hale geliyorlar.

Aynı şifreyi birden fazla sitede kullanmanın tehlikesi de bu noktada kendisini göstermekte. Bir hesabın çalınmasını önemsemiyor olabilirsiniz ancak aynı şifreyi kullandığınızda, önemsediğiniz bir hesabı da kaybetmiş oluyorsunuz.

Tabi ki bu çalışma sistemi Facebook'a özel değil. San Francisco Chronicle'ın Ocak ayında söylediği gibi, giderek daha fazla firma kullanıcılarını korumak için bu tür yollara başvurmaktalar. Chronicle, PayPal'ın kara borsadan şifre satın almayı "işin normal süreci" olarak tanımlayan bir firma olduğunu belirtmişti.

Bu yöntem, güvenlik uzmanları tarafından küçümsenmekte ve çalıntı verileri satın almanın önemli bir çizgiyi geçmek olduğunu düşünmekteler. Tabi ki çalıntı verilerin satın alınmasının kanunen de gri bir bölgede yer aldığı doğru. Ancak daha büyük bir çoğunluk, verilerin zaten çalınmış olduklarını ve en azından büyük firmaların bu verilerin çalındığından haberdar olmalarının ve kullanıcılarının güvenliğini sağlamaya çalışmalarının mantıklı olduğunu düşünmekte...

Facebook Teknoloji Haberler