Son zamanlarda haberlerde veri ihlali, data leak ya da hacklendi kelimelerini gördüyseniz yalnız değilsiniz — ihlal duyuruları neredeyse haftalık bir olaya dönüştü ve arama trendi de bunu yansıtıyor. Bu rehber bir ihlalin gerçekte ne olduğunu, neden olmaya devam ettiğini, neyin çalındığını, ne yapabileceğinizi ve yeterince konuşulmayan yapısal bir cevabı açıklar: verilerinizi hiçbir yere göndermeyen uygulamalar onları sızdıramaz.
Veri ihlali gerçekte nedir
Bir veri ihlali, bir organizasyon tarafından saklanan bilgilerin, görmemesi gereken biri tarafından erişildiği, kopyalandığı veya açıklandığı bir olaydır. Bilgiler müşteri kayıtları, bordro dosyaları, kredi kartı numaraları, parola hash'leri, dahili belgeler veya tıbbi kayıtlar ve ev adresleri gibi hassas kişisel veriler olabilir.
Teknik mekanizma değişir — çalınmış bir parola, yamalanmamış bir sunucu, yanlış yapılandırılmış bir cloud bucket, kötü niyetli bir insider, saldırganlara giriş veren bir phishing e-postası. Yasal tanım yargı bölgesine göre değişir (GDPR, CCPA, HIPAA çizgiyi farklı çizer). Ama günlük anlamı aynı: özel kalması gereken veriler artık özel değil.
İhlaller neden devam ediyor
Yıllık ihlal sayısı son on yılda neredeyse her yıl arttı. Yapısal sebepler heyecan verici değil:
- Her şey artık cloud'da saklanıyor. Müşteri kayıtlarını şirket içinde tutan firmalar şimdi onları S3 bucket'larında, yönetilen veritabanlarında ve SaaS panellerinde tutuyor. Saldırı yüzeyi her entegrasyonla büyüyor.
- Kimlik bilgileri en zayıf halka. Çoğu ihlal tek bir tehlikeye giren parolayla başlar. Çok faktörlü kimlik doğrulama yardımcı olur, ama benimseme eşitsiz ve SMS tabanlı 2FA da saldırılabilir.
- Tedarikçiler ve tedarik zinciri. Veriniz yalnızca kaydolduğunuz şirket tarafından değil, paylaştıkları her tedarikçi tarafından da risk altında — analitik platformları, ödeme işlemcileri, destek araçları, reklam ortakları. Her biri kendi ihlal vektörü.
- Tespit aylar alıyor. Sektör ortalaması ilk tehlikeden tespite kadar yaklaşık 200 gün. Birinin fark etmeden önce bir saldırganın sessizce veri sızdırdığı altı ay.
- Cezalar genellikle verinin değerinden az. Bir ihlal temizlik ve cezalarda ortalama 4-5 milyon USD'ye mal olur. Verinin ömür boyu değeri, özellikle dolandırıcılıkta tekrar kullanıldığında, sıklıkla daha yüksek. Ekonomi kötü güvenliği güçlü şekilde caydırmaz.
Ne tür veriler çalınır
Çalınan tüm veriler eşit derecede zararlı değildir. Sızdırılan bir kayıt size yaklaşık olarak neden olabileceği belaya göre sıralı:
| Veri türü | Neden sızması kötü |
|---|---|
| Kimlik belgeleri | Pasaport, kimlik, ehliyet numaraları. Kimliğe bürünme için kullanılır. Değiştirmesi en zor. |
| Finansal kayıtlar | Kredi kartı numaraları, banka hesap bilgileri, işlem geçmişi. Genellikle doğrudan paraya çevrilebilir. |
| Parolalar (hash'li ya da düz metin) | Sitelerde tekrar kullanılır. Sızan tek bir parola → onu kullanan diğer her hesaba credential stuffing saldırıları. |
| Kişisel iletişim bilgileri | E-posta + telefon + isim + adres kombinasyonları. Phishing, SMS dolandırıcılığı, doxxing için kullanılır. |
| Tıbbi / sağlık kayıtları | Hassas ve kalıcı — tıbbi geçmişiniz değişmez. Sigorta dolandırıcılığı ve hedefli dolandırıcılık için kullanılır. |
| Davranış verileri | Tarayıcı geçmişi, konum izleri, uygulama kullanımı. Reklam hedefleme, dolandırıcılık veya takip için profil oluşturmak için kullanılır. |
Gerçekten ne yapabilirsiniz
Bu konudaki tavsiyelerin çoğu ya işe yaramaz ("hacklenme") ya bunaltıcıdır ("yarın tüm parolaları değiştir"). Pratik liste:
- Parola yöneticisi kullanın. Site başına bir güçlü ve benzersiz parola, yönetici tarafından üretilip hatırlanır. Bu tek adım çoğu credential stuffing saldırısını etkisiz hale getirir. 1Password, Bitwarden ve KeePass hepsi sağlam.
- 2FA'yı açın, uygulama tabanlıyı tercih edin. Authenticator app kodları (TOTP) veya donanım güvenlik anahtarları SMS'i geniş farkla geçer. SMS hiç yoktan iyidir ama SIM-swap saldırıları onu atlar.
- Have I Been Pwned kullanın. E-postanızın hangi ihlallerde göründüğünü söyleyen ücretsiz hizmet. Uyarılara abone olun; etkilenen parolaları döndürün.
- Hesap sayınızı azaltın. Her hesap bir ihlal vektörüdür. Artık kullanmadıklarınızı silin. Bir makale okumak için kayıt olmayın.
- Mümkün olduğunda offline araçları tercih edin. Bir iş cloud servisine veri göndermeden yapılabilirse, öyle yapın. Yapısal çözüm bu — bir sonraki bölüme bakın.
Yapısal cevap: offline-first uygulamalar
Çoğu kişisel veri bir ihlalde bulur çünkü en başta bir sunucuya gönderilmiştir. Fotoğraflarınızı "iyileştirmek" için yükleyen bir fotoğraf editörü. Kullanım analitiği gönderen bir hesap makinesi. Aradığınız her kelimeyi loglayan bir çevirmen. Hesap gerektiren bir sözlük.
Yapısal cevap, verilerinizi hiçbir yere göndermeyen uygulamaları kullanmaktır. Hesaplamalar, sözlük araması, PDF düzenleme, ekran kilitleme, ses kaydı — bunların hepsi tamamen cihazınızda yapılabilir. Eğer uygulama verilerinize hiçbir zaman sahip değilse, bir sonraki ihlal de onları içeremez.
Bu, NDT Studio kataloğundaki her uygulamanın arkasındaki ilkedir. 45 çevrimdışı sözlüğümüz hesap gerektirmez. BMI hesaplayıcımız, PDF araçlarımız ve utility uygulamalarımız internet bağlantısı olmadan çalışır ve verilerinizi bir sunucuya senkronize etmez. Olağanüstü prensipten değil, mimari en basit olduğu için: sunucu yok, ihlal yok.
Çevrimdışı uygulamalara göz atın
Android ve iOS için 61 ücretsiz çevrimdışı uygulama yürütüyoruz — 45'ten fazla dili kapsıyor, üstelik utility araçlar var. Hiçbiri hesap istemiyor; hiçbiri kullanımınızı yüklemiyor. Şu anda kullandığınız cloud bağımlı sürümlerin yerine geçebilecekleri görmek için tam kataloga bakın.
Tüm NDT Studio uygulamalarına bak →Hızlı SSS
Verilerimin bir ihlalde olduğunu nasıl bilirim?
En kolay araç Have I Been Pwned (haveibeenpwned.com). E-postanızı girin; bilinen sızmış kimlik bilgisi veritabanlarıyla çapraz kontrol yapar. Gelecekteki ihlaller sizi içerdiğinde uyarılmak için e-posta bildirim hizmetine abone olun. Troy Hunt tarafından yürütülür ve gerçekten ücretsizdir.
Bir şirket verilerime sahip ve ihlal edildiyse herhangi bir şeye hakkım var mı?
Tamamen yargı yerinize ve ihlalin büyüklüğüne bağlı. ABD'de toplu dava uzlaşmaları bazen etkilenen kişi başına 5-200 USD öder, genellikle bir yıllık evrak işinden sonra. AB'de GDPR, şirketin sizi 72 saat içinde bilgilendirmesini gerektirir ve ek koruma sağlayabilir, ama bireylere nakit ödemeler nadirdir. Gerçekçi beklenti: size bir yıllık ücretsiz kredi izleme sunulabilir. Daha büyük değer, ihlal edilen hizmette kullanılan parolaları değiştirmektir.
Offline uygulamalar gerçekten daha güvenli mi yoksa sadece pazarlama mı?
Veri ihlallerinin spesifik riski için gerçekten daha güvenli. Bir offline uygulama sahip olmadığı veriyi sızdıramaz. Yine de, offline uygulamalar başka açıklıklara sahip olabilir — geliştirici düzeyinde backdoor'lanmış olabilir, malware içeren kütüphaneler içerebilir, veya veri toplayıp sonra yükleyebilir. Doğru test "offline mi" değil "kişisel veri iletiyor mu" olmalı. Yüklemeden önce uygulamanın gizlilik politikasını ve ağ izinlerini kontrol edin.
İhlaller olmaya devam edecek — yapısal nedenler iyileşmiyor. Gerçekçi strateji yüzeyi azaltmak: daha az hesap, daha güçlü parolalar, mümkün olan yerde 2FA, ve bilginizi yüklemeden çalışan araçları tercih etmek. Offline-first uygulamalar bu ilkenin en basit versiyonu ve tesadüfen NDT Studio'da yaptığımız her şey.