Twitter parola kurtarma özelliğindeki açık yüzünden 10.000 kullanıcının kişisel bilgileri ele geçirildi. Twitter bu olaydan etkilenen kullanıcılarını durumdan haberdar etti ve bu açıktan faydalanan kullanıcıların hesaplarının askıya alınacağını duyurdu.
Twitter 10.000 kullanıcısına web sitesinin parola kurtarma özelliğindeki bug yüzünden e-posta adreslerinin ve telefon numaralarının ele geçirilmiş olabileceğini duyurdu.
Olay geçen haftanın hangisi olduğu belirtilmeyen bir günündeki 24 saat boyunca yaşandı, ancak şirket mağdurları durumdan Çarşamba günü haberdar oldu.
Twitter yaptığı blog gönderisinde “Bu açıktan faydalanarak başka hesapların bilgilerine eriştiği tespit edilen kullanıcıların hesapları süresiz olarak askıya alınacak. Ayrıca kapsamlı bir soruşturma başlatılması ve gerekli cezaların verilmesi için hukuki mercilere de başvuracağız,” dedi.
Web sitesi özelliklerinin istismar edilerek kullanıcıların e-posta adresleri ve telefon numaraları gibi kişisel bilgilerinin ele geçirilmesi nadir rastlanan bir durum değil. 2012 yılında Facebook mobil sitesinde telefon numarasıyla aramalara kısıtlama getirmişti, çünkü olası bir güvenlik açığında saldırganlar telefon numaralarıyla ardışık aramalar yapıp bu numaraları mevcut kullanıcılarla eşleştirebilirdi.
Kişisel bilgilerdeki diğer sızmaların kullanıcılar tarafından tespit edilmesi zor olabiliyor. Örneğin, online arkadaşlık siteleri Adult Friend Finder ve Ashley Madison’da yaşanan kişisel veri hırsızlıkları eşleri, partnerları veya arkadaşları tarafından bu sitelerde bir hesabı olduğu bilinmeyen birçok kullanıcıyı haliyle kızdırmıştı.
Bu kullanıcıların birçoğunun bilmediği şey ise hackerlar bu siteleri hacklemeden önce bile isteyen herkesin bu sitelerin parola kurtarma sistemleri vasıtasıyla e-posta adreslerinin kayıtlı olup olmadığını kontrol edebileceğiydi.
Kullanıcılar kişisel bilgilerinin bu parola kurtarma özellikleri vasıtasıyla korunması anlamında web sitelerine güvenmemeli, çünkü kayıt bilgilerinin çalınması çok sık yaşanan bir durum. Olaya güvenlik perspektifinden bakıldığında, kişisel bilgilerinin mahremiyetine önem veren kullanıcıların mutlaka hesaplarını olası hırsızlık olaylarına karşı koruyan araçlardan faydalanması, örneğin eğer web sitesinde varsa iki unsurlu oturum açma özelliğini aktif hale getirmesi gerekiyor.
Twitter’da oturum açma esnasında parolaların yanı sıra kullanıcıların cep telefonlarına gönderilen tek kullanımlık kodların girilmesini gerektiren “oturum açma onayı” adlı bir özellik var. Ayrıca Twitter parola yenileme durumlarında kullanıcının e-posta adresi veya telefon numarası gibi ek bilgilerin girilmesi opsiyonunu da sunuyor. Bu opsiyon hesabın güvenlik ve gizlilik ayarları sayfasında bulunuyor. Bu özellik etkin hale getirilmediği sürece parola yenileme işlemi yalnızca hesabın kullanıcı adı ile yapılabiliyor.
Twitter kullanıcılarının ayrıca en az 10 karakterden oluşan güçlü bir parola oluşturmalarında, hesaplarının oturum açma geçmişlerini periyodik olarak gözden geçirmelerinde ve hesap uygulama sekmelerini kontrol ederek artık kullanılmayan uygulamalara erişimi engellemelerinde fayda var.