E-posta Adreslerinin Halka Açık Paylaşılmasının Sakıncaları

Posted on April 15, 2018  •  2 minutes  • 317 words  • Other languages:  English

Çıkış Noktası

Bu yazı, e-posta adreslerinin halka açık olarak paylaşılmasının sakıncaları ve olası siber güvenlik riskleri üzerine kaleme alınmıştır. Önleyici tedbirler alınması, bu yazının temel hedefidir.

Yakın tarihte yaşanan bir siber olay sonrası, etkilenen kullanıcıların farkındalığını artırmak amacıyla kişisel inisiyatifle girişimde bulunulmuştur.

Yaklaşık 50 bin e-posta adresine, yanlış yapılandırma ayarları sonucunda, söz konusu liste üyeleri tarafından ulaşılabildiği farkedilmiştir.

Muhtemel Sonuçları

• Oltalama olarak tabir edilen, kullanıcıya bir banka veya ilişkisi bulunan kurumdan yollandığı izlenimi verilerek yollanan postalar aracılığıyla dolandırıcılık ve müdahale girişimleri

• E-posta adreslerinin ele geçirilmesi akabinde, bu postaların entegre olduğu platformların (E-Devlet, sosyal medya hesaplarının vb.) ele geçirilmek amacıyla hedef alınması

• Kişisel bilgilerin ve cihazların ele geçirilmesi, değiştirilmesi, yok edilmesi veya sahte işlem yapılması^[2016-2019 yıllarını kapsayan Ulusal Siber Güvenlik Strateji Belgesi ]

Dayanak Noktası

Bu çalışmanın dayanak noktası ulusal siber güvenlik eylemlerinden biri olarak tanımlanan “Toplumun her kesiminde siber güvenlik bilincinin oluşturulması, …farkındalık çalışmalarının yapılmasıdır.”

Yine aynı belgede belirtilen, “Tehdit unsurlarının saldırı yapmadan önce bertaraf edilmesi için ulusal proaktif siber savunma yeteneğinin geliştirilmesi” bu çalışmanın bir diğer temel dayanak noktasıdır.

Alınabilecek Bazı Önlemler

• 2 Aşamalı Doğrulama^[Ayrıntılı bilgi için: Kişisel Bilgi Güvenliği Nasıl Artırılabilir? ] olarak adlandırılan yönlemle e-posta hesaplarına erişimde, parola sonrası ikinci bir kod girilerek bu noktada etkili bir önlem alınabilir.

• Farkındalık çalışmaları ve yeni nesil siber tehditler hakkında gerekli bilgilendirmenin, kişisel ve kurumsal düzeyde düzenli olarak yapılması gerekmektedir.

• Klasik bir yöntem olan, birden fazla kullanıcıya yollanan e-postalarda alıcı listesi “CC” veya “To:” kısımlarına değil, “BCC” kısmında eklenerek, bu vaka analizinde gördüğümüz durumun benzerlerinin önüne geçilebilir.

• Son olarak, e-posta vb. kaynaklardan alınan bilgilerin 3. kaynaklardan teyit edilmesi sonrası etkileşime geçilmesi, tıklanması kullanıcı açısından daha sağlıklı olacaktır.

Sonuç

Siber güvenlik veya bilgi güvenliği, son kullanıcının farkındalığı merkezinde inşa edilmektedir. Bir e-posta adresinin halka açık olarak kullanıcı rızasıyla paylaşılması, kullanıcının takdiridir. Burada altı çizilmesi gereken husus, hizmet veren kuruluşun, koruması gereken bu bilgileri layığıyla korumamış oluşudur.

(47 bin adresin olduğu liste yöneticisine yapılan bildirim sonrası bu açık giderilmiştir.)