Bu hafta güvenlik dünyasında hareketli günler yaşandı. Avrupa Parlamentosu'nun PEGA Komitesi'nin Pegasus casus yazılımı ile hedef alındığı ortaya çıkarken, Apple'ın gizlilik odaklı 'E-postamı Gizle' hizmetinde ciddi bir güvenlik açığı keşfedildi. Scattered Spider grubunun 19 yaşındaki bir üyesi ABD'ye iade edilirken, WhatsApp'ın kullanıcı adı özelliği Hindistan'da tartışma yarattı. Ayrıca, plaka tanıma kameralarındaki hatalar masum insanların gözaltına alınmasına neden oluyor.
Bir araştırmacı, Anthropic'in Claude Opus 4.7 yapay zeka modelini kullanarak Front Gate adlı bilet satış sitesine sızdı ve Lollapalooza, Bonnaroo gibi büyük festivallere neredeyse tüm biletleri alabildi. WIRED'in araştırması ise Meta'nın, çocuk ve genç kılığına girerek Gemini ve ChatGPT gibi sohbet robotlarının intihar, seks ve uyuşturucu gibi hassas konulardaki yanıtlarını test ettiğini ortaya koydu. Google üst düzey güvenlik yetkilileri, AB'nin rekabet yanlısı düzenleme önerilerinin Google Arama ve Android sistemlerini siber saldırılara açık hale getirebileceği uyarısında bulundu.
Apple'ın 2021'de piyasaya sürdüğü 'E-postamı Gizle' (Hide My Email) özelliği, kullanıcıların hizmetlere kaydolurken rastgele ve benzersiz e-posta adresleri kullanmasını sağlıyor. Bu adresler, gelen iletileri kullanıcının gerçek e-posta adresine yönlendiriyor. 404 Media'nın haberine göre, güvenlik araştırmacısı Tyler Murphy, sistemde bir yıldır var olan bir güvenlik açığı keşfetti. Açık sayesinde, @icloud.com uzantılı gizli e-posta adreslerinin sahiplerinin gerçek e-posta adreslerine ulaşılabiliyor. Murphy'nin yaptığı testlerde, oluşturulan tüm gizli e-posta adreslerinin %100 oranında gerçek adresle ilişkilendirilebildiği görüldü.
Murphy, açığı ilk olarak geçen yıl haziran ayında Apple'a bildirdi. Şirket, sorunun mart ayında çözüldüğünü söylese de, araştırmacı testlere devam ettiğinde açığın hâlâ istismar edilebilir olduğunu gördü. Apple, birkaç ay önce konuyu hâlâ araştırdığını belirtti ancak 404 Media'ya yorum yapmadı. Açığın tam detayları, henüz düzeltilmediği için paylaşılmıyor. Bu durum, milyonlarca Apple kullanıcısının gizliliğini tehdit ediyor ve özellikle hassas bilgilerini korumak isteyenler için büyük bir risk oluşturuyor.
Diğer önemli gelişmeler arasında, Scattered Spider grubunun 19 yaşındaki üyesi Peter Stokes'un Finlandiya'da tutuklanarak ABD'ye iade edilmesi var. Stokes, mayıs 2025'te lüks bir mücevher perakendecisine yapılan siber saldırıda 8 milyon dolar kripto para fidyeyi talep etmekle suçlanıyor. Şirket fidyeyi ödemedi ancak olay 2 milyon dolara mal oldu. Scattered Spider grubu, genç İngilizce konuşan üyelerden oluşuyor ve dünya çapında birçok işletmeyi hedef almıştı. Bu tutuklama, daha önce Londra Ulaşım Otoritesi'ne (TfL) yapılan saldırıda suçunu kabul eden iki İngiliz üyenin ardından geldi.
Detaylar ve Etkileri
WhatsApp, milyarlarca kullanıcısına yakında kullanıcı adı özelliğini sunacağını duyurdu. Bu özellik, telefon numarası paylaşmadan mesajlaşmayı mümkün kılarak gizliliği artırıyor. Ancak Hindistan hükümeti, bu adımın dolandırıcılık ve siber suçları artırabileceğini öne sürerek WhatsApp'tan özelliği ülkede durdurmasını istedi. Hindistan, Signal ve Telegram'a da benzer uyarılar gönderdi. Hindistan, WhatsApp'ın en büyük pazarlarından biri ve daha önce de uçtan uca şifrelemeyi kırmaya çalışmıştı.
Otomatik plaka tanıma (ALPR) kameraları, ABD genelinde hızla yayılıyor. Polis, belediyeler ve işletmeler tarafından kullanılan bu kameralar, geçen araçların plakalarını, konum, zaman, marka ve model gibi bilgileri kaydediyor. Ancak Institute for Justice'ın yaptığı bir inceleme, son sekiz yılda en az 24 yanlış kimlik tespiti vakası olduğunu gösteriyor. Yanlış okumalar nedeniyle birçok masum kişi silah zoruyla gözaltına alındı. Örneğin, bir kameranın 'O' harfini '0' olarak okuması sonucu bir büyükanne ve büyükbaba gözaltına alındı. Yapay zeka destekli bu kameraların hata payı, endişeleri artırıyor.
Sistem Güvenliği
Son olarak, güvenlik araştırmacıları ve sivil toplum kuruluşları, bu haftaki olayların siber güvenlik ve gizlilik alanında ne kadar kırılgan olduğumuzu bir kez daha gösterdiğini belirtiyor. Apple kullanıcıları, gizli e-posta adreslerine güvenmemeli ve hassas bilgilerini paylaşırken dikkatli olmalı. ALPR kameralarının yanlışlıkla masumları hedef alması, teknolojinin denetimsiz kullanımının tehlikelerini ortaya koyuyor. Kullanıcılar, güvenlik güncellemelerini takip etmeli ve iki faktörlü kimlik doğrulama gibi ek önlemler almalı.
Kaynak: wired.com