Görünmez Tehlike: Facebook (META) ve Açıkta Bırakılan Milyonlarca S3 Verisi

Ne Oldu?

2019 yılında, Facebook kullanıcılarına ait yüz milyonlarca veri kaydının korumasız bir şekilde Amazon Web Services (AWS) üzerinde saklandığı tespit edildi. Olay, siber güvenlik firması UpGuard’ın yaptığı araştırmalar sonucu ortaya çıkarıldı. Söz konusu veri ihlali, doğrudan Facebook altyapısından değil, Facebook’un API’lerini kullanan üçüncü taraf uygulamalar tarafından gerçekleştirilen hatalı bulut yapılandırmaları sonucu meydana geldi.

İki temel veri kaynağı vardı:

• Meksika merkezli medya şirketi Cultura Colectiva, yaklaşık 540 milyon kullanıcı kaydını AWS S3 üzerinde şifreleme veya kimlik doğrulama olmadan saklıyordu.
• Kapanmış bir uygulama olan “At the Pool”, 22.000’den fazla kullanıcıya ait kişisel bilgiyi (isim, e-posta adresi ve şifreler dahil) içeren verileri aynı şekilde herkese açık bir şekilde barındırıyordu.

Nasıl Gerçekleşti?

Facebook’un geliştiricilere sunduğu API erişimi sayesinde, çeşitli şirketler kullanıcı verilerine ulaşabiliyordu. Bu uygulamalar, kullanıcıdan izin alarak verilere erişiyor ve genellikle bunları kendi sistemlerinde analiz etmek için depoluyordu. Ancak bu verilerin nasıl saklandığı ve güvenlik önlemleri, Facebook’un doğrudan kontrolü dışında kalıyordu.

Söz konusu iki şirket, ellerindeki verileri Amazon S3 servisinde tutuyordu. Ancak bu kovalar (S3 Buckets), varsayılan olarak genel erişime kapalı olmalarına rağmen bilinçli olarak public erişime açılmıştı veya bu durum konfigürasyon hatası nedeniyle fark edilmemişti. Bu yapılandırma hatası, bu veri setlerinin internette herkese açık hale gelmesine ve Google gibi arama motorları tarafından indekslenmesine yol açtı.

Sonuçları Nelerdi?

• Facebook’un itibarı, Cambridge Analytica skandalından sonra yeniden zedelendi.
• Amazon, kullanıcılarına S3 Bucket’ların yanlış yapılandırılmasına karşı “Block Public Access” özelliğini kullanmaları için uyarılarda bulundu.
• Facebook, API erişimi olan üçüncü taraf uygulamaları sıkı denetime aldı ve binlerce uygulamanın erişimini iptal etti.
• GDPR ve benzeri veri koruma yasaları kapsamında incelemeler başlatıldı.

Alınabilecek Önlemler Nelerdi?

• Varsayılan Erişim Politikaları: S3 Bucket’ların varsayılan olarak private yapılandırılması ve erişim değişikliklerinin bilinçli ve kontrollü yapılması.
• Veri Şifreleme ve Maskeleme: Özellikle kullanıcı şifreleri gibi hassas bilgilerin asla düz metin (plaintext) olarak tutulmaması.
• Denetim Mekanizmaları: Facebook’un üçüncü taraf uygulamaları sürekli denetlemesi ve gerekli durumlarda API erişimlerini iptal etmesi.
• Veri Minimizasyonu: Gereksiz verilerin tutulmaması ve saklanan verilerin sınırlı bir süre sonunda silinmesi.
• Geliştirici Eğitimi: Facebook API’lerini kullanan geliştiricilere, veri güvenliği ve bulut yapılandırmaları hakkında eğitim verilmesi.
• Sözleşmesel Yaptırımlar: Uygulama geliştiricileriyle yapılan sözleşmelere veri güvenliği ihlallerine yönelik yaptırımların dahil edilmesi.

Kaynakça:

• https://www.upguard.com/breaches/facebook-user-data-exposed
• https://www.cnet.com/news/facebook-user-data-exposed-on-amazon-cloud-servers/
• https://techcrunch.com/2019/04/03/facebook-data-leak-amazon-servers/