Teknoloji hızla gelişmeye devam ederken, bu sürece adapte olma telaşı içinde bazen farkında olmadan bazı zaafiyetler yaşayabiliyoruz. Üstelik bu zaafiyetlerin maliyeti, çoğu zaman düşündüğümüzden çok daha büyük olabiliyor. Bu yazımda sizlere son günlerde popülerliği artan kişisel veri kavramı, kişisel verilerimizin nasıl kullanıldığı ve bu verileri daha iyi korumak için bilmemiz gereken yöntemlerden bahsedeceğim.
Kişisel verileriniz, sizin dijital kimliğinizdir ve sizi tahmin edebileceğinizden çok daha savunmasız hâle getirebilir. Sosyal medyada yaptığınız paylaşımlar, internet aramalarınız, tükettiğiniz içerikler ve hatta bazen yalnızca akıllı cihazlarınızın yanınızda bulunması bile verilerinizin işlenmesine yol açabilir. Şirketler, bu verileri yalnızca reklam hedeflemesi için değil, aynı zamanda kullanıcı alışkanlıklarını analiz etmek, yapay zekâlarını geliştirmek ve kârlılıklarını artırmak için kullanabilir.
Toplum Mühendisliği Kavramı: Kişisel Verilerin Gerçek Gücü
Verilerinizin önemi sadece kredi kartı bilgileriniz veya kimlik numaranızla sınırlı değil. Toplum Mühendisliği, insan psikolojisini ve davranışlarını manipüle ederek bilgi elde etme veya insanları belirli bir şekilde yönlendirme sanatıdır.
Bunu bir örnekle daha iyi açıklayayım:
Diyelim ki sosyal medyada eğlenceli bir kişilik testi gördünüz. Test size “Hangi tarihi figüre benziyorsunuz?” ya da “Kaç yaşında öleceksiniz?” gibi ilgi çekici sorular soruyor. Eğlenmek için bu testi yapıyorsunuz ve test sizden doğum tarihinizi, hobilerinizi veya sevdiğiniz rengi söylemenizi istiyor. Peki, burada gerçekten ne oluyor?
Görünüşte masum olan bu testler aslında sizin hakkınızda veri topluyor. Doğum tarihiniz, yaşınızı belirler. Hobileriniz, ilgi alanlarınızı ortaya koyar. Renk tercihleriniz bile psikolojik profilinizin bir parçası olabilir.
Dışardan bakınca aslında hiçbir şey ifade etmeyen bu bilgilerin her biri aslında kişiliğinzin küçük birer parçası. Şirketler bu bilgileri doğru şekilde birleştirerek sizi sizden daha iyi tanıyan algoritmalar ortaya çıkartıyor. Sizi etkileyecek haberleri, sizi alışveriş yapmaya teşvik edecek kampanyaları veya hatta sizi belirli bir fikre yönlendirecek içerikleri bilinçli olarak karşınıza çıkartabiliyor.
Örneğin, Cambridge Analytica skandalı, kişisel verilerin yalnızca ticari amaçlarla değil, aynı zamanda politik manipülasyon için de kullanılabileceğini gösterdi. Facebook üzerinden toplanan milyonlarca kullanıcının verileri, siyasi eğilimleri analiz etmek ve kişiye özel propaganda içerikleri göstermek için kullanıldı. Bu yöntemle, kullanıcılar sosyal medya üzerinden manipüle edilerek seçim sonuçlarını etkilemeye yönelik bir strateji uygulandı.
Bu örnekle aslında pek de önemsenmeyen ve ufak detaylardan oluşan kişisel verilerin aslında bir araya geldiğinde ne kadar büyük bir kitlesel yönlendirmeye yol açabileceğini vurgulamak isterim.
Kişisel Verileri Daha İyi Korumanın Yolları
Öncelikle dijital dünyada var olmak artık bir lüks değil, neredeyse bir zorunluluk. Sanal dünyada ayak izi bırakmadan dolaşmak nerdeyse imkansız olduğından kişisel verilerimizi tamamen korumamız pek mümkün değil. Ancak burada önemli olan, ne kadar veri paylaştığımızı bilmek ve bilinçli tercihler yaparak kontrolü olabildiğince elimizde tutmak.
Peki, bunu nasıl yapabiliriz? Günlük alışkanlıklarımızda küçük değişiklikler yaparak ve kullandığımız platformlarda bazı ayarları düzenleyerek kişisel veri güvenliğimizi artırabiliriz.
Mesela sosyal medya hesaplarımızı düşünelim. Çoğu zaman varsayılan ayarlar, çoğunlukla verilerimizi kullandığımız uygulama üzerinden uygulamanın geliştiricisi ve çözüm ortaklarıyla paylaşmaya yöneliktir. Ancak gizlilik ayarlarımızı gözden geçirdiğimizde fark ediyoruz ki aslında paylaşılması tamamiyle kullanıcının insiyatifinde olan tonlarca bilgiyi uygulama geliştiricisi ile paylaşıyoruz. Gizlilik sözleşmesi çoğunlukla incelenmediğinden bu bilgilerin ne zaman ve nasıl şartlar altında kullanılabileceğine dair de pek bilgimiz olmuyor. Bununla ilgili ufak bir numara da bir hizmete veyahut uygulamaya kaydolurken bakmadan işaretlediğimiz “veri paylaşma izinleri”. Geliştiriciler çoğunlukla sunduğu bir ürüne kayıt aşamasında zorunlu olan gizlilik sözleşmesi için gerekli onayı seçenekler arasında en sona ekler. Kullanıcı da pek fazla uğraşmadan direkt olarak kayıt olmak istediği için bu izinlerin hepsini doğrudan işaretleyerek devam eder. Aslında kullanıcı paylaşmak zorunda olmadığı birtakım bilgiyi geliştiricinin bu basit numarası sayesinde paylaşmıştır. Bu nedenle, bir uygulamaya veya hizmete kaydolurken varsayılan olarak sunulan izinleri gözden geçirmek ve gerçekten gerekli olup olmadığını sorgulamak önemlidir. Aksi takdirde, farkında olmadan gereksiz veri paylaşımı yapabiliriz.
Bir de aldığımız şu meşhur e-posta ve SMS’ler var. Varlığı neredeyse internet tarihi kadar eski olan bu “phishing” (oltalama) yöntemi ile aldığımız mesajlara aldanmak günümüzde artık komik gibi görünse de ne yazık ki özelikle son dönemde ülkemizde yaşanan veri sızıntıları sebebiyle saldırganın elinde sizin hakkınızda fazlasıyla veri bulunabiliyor. Saldırganın elinde ne kadar veri bulunursa sizi kandırması o kadar kolay olur diyebiliriz.
Saldırganın elindeki fazla verinin neden savunmasızlığı arttırdığını da şöyle bir örnekle açıklasam daha iyi olur. Varsayalım ki sizin devlete bir vergi borcunuz var ve doğal olarak taraflar devlet ve siz olduğunuz için bu bilginin başka kimsenin elinde olmadığını düşünürsünüz. Fakat bir veri sızıntısı sonucu oluşan durumda saldırgan size ait kimlik bilgilerini öte yandan bu borcu görebildiğinden bunun üzerinden ilerleyerek şöyle bir SMS veya e-posta ile “Sayın Kullanıcı, … adlı kuruma ait vergi borcunuz nedeniyle yasal işlem başlatılacaktır. Borcunuzu hemen ödemek için aşağıdaki linke tıklayarak ödeme sayfasına ulaşabilirsiniz: … ” Bu tür mesajlar, özellikle içinde doğru görünen bilgiler olduğu için daha inandırıcı hale gelir. Siz, gerçekten böyle bir borcunuz olduğunu bildiğinizden gelen mesajın veya mailin kesin olarak yetkili bir kurum aracılığıyla geldiğini düşünerek ödeme sayfasına gidersiniz. Saldırganın amacı, sizi korkutarak hızla harekete geçmenizi sağlamak ve sahte bir ödeme sayfası üzerinden kredi kartı veya banka bilgilerinizi ele geçirmektir. Bu nedenle, aldığımız her bağlantıya tıklamadan önce dikkatli olmalı, özellikle oturum açmamız istenen sitelerin gerçekten güvenilir olup olmadığını öğrenmelisiniz.
Ayrıca, internette bıraktığımız izleri azaltmak için VPN kullanmayı da düşünebiliriz. VPN (Sanal Özel Ağ), internet trafiğimizi şifreleyerek ve IP adresimizi değiştirerek üçüncü tarafların bizi takip etmesini zorlaştırır. Yani hangi sitelere girdiğimiz, ne izlediğimiz veya hangi hizmetleri kullandığımız gibi bilgiler daha az görünür hale gelir. Özellikle halka açık Wi-Fi ağlarında (örneğin, kafelerde veya havaalanlarında) VPN kullanmak ekstra bir güvenlik katmanı sağlar, çünkü bu tür ağlar siber saldırganlar tarafından kolayca izlenebilir.
Bir diğer etkili yöntem ise iki faktörlü kimlik doğrulama (2FA) kullanmaktır. Günümüzde şifrelerimizin sızdırılması veya ele geçirilmesi oldukça yaygın bir durum. Eğer sadece şifreyle korunan bir hesabımız varsa, bir saldırgan şifremizi ele geçirdiğinde doğrudan giriş yapabilir. Ancak 2FA etkinleştirildiğinde, giriş yaparken ek bir doğrulama adımı gerekir—bu genellikle SMS ile gelen bir kod, bir doğrulama uygulamasının (Google Authenticator, Microsoft Authenticator vb.) ürettiği geçici kod veya fiziksel bir güvenlik anahtarı olabilir.
Son olarak, dijital dünyadaki varlığımızı arada bir kontrol etmekte fayda var. Kendimizi Google’da aratarak hakkımızda hangi bilgilerin erişilebilir olduğunu görebiliriz. Ayrıca, veri sızıntılarında e-posta adresimizin yer alıp almadığını öğrenmek için size önerebileceğim haveibeenpwned.com adlı bir site var. Bu site, e-posta adresinizi çeşitli veri ihlali listelerinde (çoğunlukla Dark Web üzerinde) tarayarak herhangi bir sızıntıya dahil olup olmadığını gösterir.
Bunun yanı sıra, “Pwned Passwords” adı verilen bir özellik sayesinde sızdırılmış parolaları da kontrol edebiliriz. Bu sayede, şifremizin güvenliği tehlikede mi değil mi anlayabiliriz. Eğer kullandığımız bir parola bu listede yer alıyorsa, bu şifreyi hemen değiştirmeliyiz. ve mümkünse her platform için birbirinden farklı, güçlü parolalar kullanmalıyız.
Ayrıca Google da bu konuda bir hizmet sunuyor: Google Password Manager. Bu servis, kayıtlı şifrelerimizi tarayarak olası sızıntılara karşı bizi uyarıyor. Google hesabımıza giriş yaptıktan sonra passwords.google.com adresinden erişebileceğimiz bu araç sayesinde hem tüm kayıtlı şifrelerimizi görebilir hem de güvenlik kontrolü yaparak zayıf veya sızdırılmış şifreleri tespit edebiliriz. Yazıdan sonra hızlıca bir kontrol yapmanızda fayda var 😊
Özetle dijital dünyada veri, yeni çağın petrolü olarak görülüyor ve bu veriler biz farkında olmadan toplanıp işleniyor. Tamamen görünmez olmamız belki mümkün değil, ayrıca bu konularla ilgili aşırı endişelenmek veya her şeyi kontrol etmeye çalışmak da çoğunlukla gereksiz. Ama bilinçli hareket ederek dijital dünyadaki varlığımızı daha güvenli hale getirebiliriz. En önemlisi de, bu konuda farkındalık kazanmak ve başkalarına da bunu anlatmak! Çünkü ne kadar bilinçli olursak, o kadar kontrol bizde olur.
Bilişimle Kalın!
