Kendinizi Doxing’ten Nasıl Korursunuz? Bölüm -1

Bir sosyal ağda herhangi bir şey beğendiğinizde, komşularınızın bulunduğu gruba katıldığınızda, özgeçmişinizi paylaştığınızda veya sokak kamerasındaki görüntüde yer aldığınızda, tüm bu eylemlerinize ilişkin bilgiler veri tabanlarında toplanır. İnternetteki çoğu hareketiniz ve gerçek dünyada ‘attığınız neredeyse her adıma ait’ bu izler sizi tahmin edilenin ötesinde savunmasız hale getirebilir.

Yanlış bisikletçi, yanlış sürücü, yanlış baba

Aşağıda bahsedeceğimiz üç kısa hikayede göreceğiniz üzere doxing (internette yer alan kişisel bilgilerin kötü amaçlar için toplanması) hepimizin başına gelebilecek bir şeydir.

İlk hikâye ABD’den… Maryland’li bisikletçi Peter Weinberg’ın başına gelenlere göz atacağız. Weinberg tanımadığı insanlardan aşağılayıcı mesajlar ve tehditler almaya başladığında, antrenman için kullandığı uygulamanın bisikletiyle gezdiği rotaları halka açık şekilde paylaştığını ve birisinin bu rotaları, Weinberg’in kısa süre önce yakınından geçtiği bir yerde gerçekleştirilen bir çocuğa yönelik saldırı suçunun sorumlusunu bulmak için kullandığını öğrendi. İnsanlar hızla ve yanlış bir şekilde şüphelinin Weinberg olduğunu düşündü, adresini buldu ve paylaştı. Çok bilindik bir şekilde, sonrasında yapılan yanlışı düzeltmek için atılan tweet’ler (Twitter’daki paylaşımlar) ve yapılan diğer açıklamalar, ilk yayılan bilgiden çok daha az paylaşıldı.

Dünyanın diğer ucunda, Singapurlu bir hayvan hakları aktivisti yaptığı paylaşımda takipçilerine “Ona gününü gösterin!” çağrısında bulunarak, arabasıyla köpeğe çarpan bir kişinin adını ve adresini paylaştı. Otomobilin sahibinin aktardığına göre, kamuya açık şekilde yapılan bu suçlamalar kariyerine zarar verdi. İntikam almak isteyenler ise onun nerede çalıştığını öğrendikten sonra, çalıştığı şirketin Facebook sayfasına nefret dolu mesajlar yazmaya başladılar. Ancak gerçek farklıydı, çünkü kazanın olduğu sırada, arabayı başka biri kullanıyordu.

Son hikayemiz kızı hakkında yazılmış uygunsuz ve saldırgan tweet’leri gören eski bir profesyonel beyzbol oyuncusu Curt Schilling’e ait. Schilling, tweet’leri atanların izini sürdü, her biri için oldukça kapsamlı bir dosya hazırladı ve öğrendiği bazı bilgileri blogunda yayınladı. Beyzbol topluluğuyla bağlantısı olan suçlular bir gün içinde kovuldu veya oynadıkları takımlardan atıldılar.

Üç hikâyenin ortak özelliği neydi?

Her üç hikâye de doxing konusuna dair basit ve iyi örnekler… Doxing, en basit ifade ile birinin kimliğini ifşa eden verilerin, sahibinin izni olmadan toplanması ve çevrimiçi olarak paylaşılması anlamına gelir. Rahatsız edici bir durum olması dışında kurbanın gerçek hayattaki itibarına, kariyerine, hatta fiziksel güvenliğine zarar verebiliyor.

Doxing’i gerçekleştiren kişiler (doxer’lar), bunu çok farklı amaçlarla yapıyorlar. Bazıları suçluları ifşa ettiklerine inanıyor; bazıları çevrimiçi rakiplerini sindirmeye çalışıyor; bazıları ise tamamen kişisel sebeplerle küçük şeylerin intikamını almak için bu işe bulaşıyor.

90’larda ortaya çıkan Doxing kavramı o zamandan beri çok daha tehlikeli hale geldi. Bugün artık herkese açık olan özel bilgilerin hacmi düşünüldüğünde, doxing için özel bir beceri veya özel erişim hakkı sahibi olmaya gerek kalmadığı anlaşılıyor.

Doxing: İçeriden bir gözle bakmak

Doxing için ne özel bir bilgi sahibi olmaya ne de çok fazla kaynağa gerek olmaması, onu oldukça sık karşılaşılan bir durum haline getirdi. Doxer’ların kullandığı araçlar da çoğunlukla yasal ve herkesin erişimine açık…

1- Arama motorları

Doxer’lar, herkesin kullandığı Google gibi arama motorları üzerinden pek çok kişisel bilgiye ulaşabilirler. Gelişmiş arama işlevlerini kullanmak (örneğin, belirli internet siteleri veya dosya türleri içinde arama yapmak) doğru bilgilere daha hızlı ulaşmaları konusunda onlara yardımcı olur.

Arama kriterlerinde kişinin adı ve soyadının yanında, takma adının yer alması, kişinin çevrimiçi alışkanlıklarına erişimi sağlayabilir. Örneğin, sıklıkla yapılan bir şey olan farklı internet sitelerinde aynı takma adın kullanılması, herkese açık bilgi kaynaklarındaki yorumları ve gönderileri toplamak isteyen çevrimiçi dedektiflerin işlerini kolaylaştırır.

2- Sosyal ağlar

LinkedIn gibi bir konuda özelleşmiş platformlar da dahil olmak üzere sosyal ağlar çok sayıda kişisel veri içeriyor…

Gerçek bilgilerin yer aldığı herkese açık bir profil, kullanıma hazır dosya gibidir. Bunun yanında, bir profil gizli ve yalnızca arkadaşlara açık olsa bile, kendini işine adamış bir araştırmacı, kurbanın yorumlarını, üye olduğu grupları, arkadaşlarının paylaşımlarını vb. tarayarak pek çok bilgiye ulaşabilir. Buna bir de insan kaynakları çalışanı gibi davranan birinden gelen arkadaşlık isteğini eklediğinizde; sonraki seviye olan sosyal mühendislik aşamasına geçersiniz.

3- Sosyal mühendislik

Birçok saldırın içinde kendine has bir yeri olan sosyal mühendislik, doxer’ların bilgi edinmesine yardımcı olmak için insan doğasından faydalanır. Bir doxer, bir konuya ilişkin halka açık şekilde paylaşılan bilgiyi başlangıç noktası olarak kullanarak, kurbanla iletişime geçebilir ve onu, bilgilerini paylaşması konusunda ikna edebilir. Örneğin doxer, doktor olan bir kurbandan bilgi almaya çalışmak için sağlık sektörü çalışanı veya banka temsilcisi gibi davranabilir.

4- Resmi kaynaklar

Kişisel bilgilerinin anonim kalması konusunda en çok zorlananlar genelde halkın gözü önünde olan kişilerdir. Ancak buradan, kişisel bilgilerini korumaya ihtiyaç duyanların sadece rock yıldızları ve profesyonel sporcular olduğu gibi bir anlam çıkarmak doğru olmaz.

Bir doxer, potansiyel doxing kurbanının bir işverene duyduğu güveni de suistimal edebilir. Bunun için, kurumsal bir şirketin hakkımızda sayfasındaki yer alan işverenin tam adı ve fotoğrafı veya departmana ait sayfada yer alan iletişim bilgileri gibi verilerden yararlanır. Bu durum masum gibi görünebilir, ancak genel şirket bilgileri konum olarak sizi bir kişiye yaklaştırırken, fotoğraf da sizi, bu kişinin sosyal ağ profiline ulaştırabilir.

Birçok ülkede, şirket kurucularına ilişkin çok fazla bilginin halka açık şekilde paylaşılması gibi iş faaliyetleri ile ilgili paylaşımlar da internette iz bırakır.

5- Kara borsa

Daha karmaşık doxing yöntemleri de vardır. Örneğin devlet kurumlarına ve işletmelere ait güvenliği ihlal edilmiş veri tabanları gibi halka açık olmayan kaynakların doxing için kullanılabilir.

Bu konudaki çalışmalar gösteriyor ki; 6 dolar ve üzerinde bir fiyata satılan taranmış pasaport kopyalarından 50 dolar ve üzerinde fiyata satılan internet bankacılığı hesaplarına kadar her türlü kişisel veri, darkweb’de satılıyor.

Profesyonel veri toplayıcılar

Doxer’lar çalışmalarının bir kısmını, dış kaynak kullanımı şeklinde <em>veri aracılarına</em> (data brokers – çeşitli kaynaklardan toplanan kişisel verileri satan şirketler) devrederler. Veri aracılığı yapmak suç değildir. Bankalar, reklamcılar ve insan kaynakları şirketleri de bu aracılardan edindikleri verileri kullanıyorlar. Ne yazık ki, tüm veri aracıları verileri kimin satın aldığı konusuna özen göstermiyor.

Peki verileriniz sızdırıldıysa ne yapmalısınız? Sorunun yanıtı için buraya tıklayınız…