Tokee Mesajlaşma Uygulaması, Veritabanı İfşasında 1,2 Milyon Kullanıcı Profilini Sızdırdı

Tokee Veritabanı Sızıntısı Aslında Neyi İfşa Etti

Güvenlik araştırmacıları yakın zamanda, bir video ve metin mesajlaşma uygulaması olan Tokee'ye ait korumasız bir veritabanını, herhangi bir kimlik doğrulaması olmaksızın açık ve erişilebilir şekilde keşfetti. Veritabanı, tam adlar, telefon numaraları ve cihaz tokenları dahil olmak üzere yaklaşık 1,2 milyon kullanıcıya ait kayıtlar içeriyordu. Bu son kategori özellikle dikkat gerektiriyor: cihaz tokenları, belirli bir telefon veya tablete bağlı benzersiz tanımlayıcılardır ve bir cihazı farklı hizmetler genelinde parmak izi almak, yetkisiz anlık bildirimler göndermek ya da kullanıcının zaman içindeki etkinlik kalıplarını haritalandırmak için kullanılabilirler.

Bu, sofistike bir saldırı değildi. Hiçbir saldırganın güvenlik duvarlarını aşması ya da karmaşık güvenlik açıklarından yararlanması gerekmedi. Veritabanı yalnızca açık bırakılmıştı; bu da nerede bakacağını bilen herkesin verilere erişip kopyalayabileceği anlamına geliyordu. Araştırmacılar ifşayı bulup raporlamadan önce yetkisiz tarafların bunu yapıp yapmadığı kamuoyuna doğrulanmadı; bu tür olayların tam da sorunlu yanı budur.

İfşanın ölçeği, onu ciddi gizlilik ihlalleri kategorisine kesinlikle yerleştiriyor. Özellikle telefon numaraları, iki faktörlü kimlik doğrulama, SIM değiştirme saldırıları ve SMS yoluyla hedefli kimlik avı kampanyaları için kullanıldığından yüksek değerli hedeflerdir.

Neden Şifreleme Tek Başına Mesajlaşma Uygulaması Kullanıcılarını Korumaz

Gizlilik bilincine sahip kullanıcılar arasında yaygın bir kanı, uçtan uca şifreli bir mesajlaşma uygulaması seçmenin veri ifşası sorunlarının büyük bölümünü çözdüğüdür. Tokee olayı, bu kanının neden eksik olduğunu tam olarak ortaya koyuyor.

Uçtan uca şifreleme, mesajların gönderici ile alıcı arasında iletilirken içeriğini korur. Mesajlaşma platformlarının kendi sunucularında topladığı ve depoladığı meta verileri korumaz: kim olduğunuz, hangi cihazı kullandığınız, hangi telefon numarasıyla kayıt olduğunuz ve uygulamayı ne sıklıkla kullandığınız. Tüm bu bilgiler, uygulama sağlayıcısının kontrol ettiği veritabanlarında yaşar; bu veritabanları yanlış yapılandırılmış ya da yetersiz güvence altına alınmışsa, hiçbir mesaj şifrelemesi bu bilgilerin sızmasını önleyemez.

Bu, gizlilik odaklı platformları bile tamamen güvenilir kılmayı zorlaştıran aynı yapısal güvenlik açığıdır. Mesaj içeriği okunaksız olabilir, ancak çevresindeki veriler kendi hikâyesini anlatır. AB zorunlu sohbet izleme mevzuatını tartışırken, meta veri toplamanın mesaj içeriğinden özünde daha az hassas olduğu argümanını savunmak giderek zorlaşmaktadır.

Tokee ihlali, bu meta verilerin mesaj içeriğiyle aynı titizlikle ele alınmadığında neler olduğunun somut bir örneğidir.

VPN'ler Uygulama Sunucularındaki Meta Veri İzinizi Nasıl Azaltır

Bir VPN olmadan mesajlaşma uygulamasına bağlandığınızda, uygulamanın sunucuları gerçek IP adresinizi hesap etkinliğinizle birlikte kaydeder. Bu IP adresi, yaklaşık konumunuzu, internet servis sağlayıcınızı ve bazı durumlarda kimliğinizi çıkarmak için kullanılabilir. Bu sunucu taraflı veriler Tokee'ninki gibi bir ihlalde ifşa edilirse, mahkeme celbiyle talep edilirse ya da devletle bağlantılı bir tehdit aktörü tarafından erişilirse, IP adresiniz hesabınıza bağlı başka bir tanımlayıcı bilgi parçası haline gelir.

Bir VPN, gerçek IP adresinizi VPN sunucusuna ait biriyle değiştirir; böylece uygulamanın sunucu günlüklerine kaydedilen şey, doğrudan size işaret eden bir adres yerine paylaşılan bir adres olur. Bu, bir ihlalin yaşanmasını engellemez ve kayıt olduğunuz telefon numarasını veya cihaz tokenını korumaz. Ancak ifşa edilen verilerin sizi bulmak veya tanımlamak için ne ölçüde kullanılabileceğini anlamlı biçimde azaltır.

Meta veri izinizi sınırlamanın önemi, yüksek riskli bağlamlarda daha belirgin hale gelir. Sofistike devlet destekli saldırılar giderek artan biçimde kişisel iletişim altyapısını hedef almakta ve mesajlaşma uygulamalarınızın üzerine bir VPN eklemek gerçek, her ne kadar kısmi olsa da, bir engel oluşturur. Benzer şekilde, cihazınızdaki kötü amaçlı uygulamaların Google Play aracılığıyla 2,3 milyonun üzerinde Android cihaza bulaşan NoVoice kötü amaçlı yazılımında görüldüğü gibi sistem düzeyinde veri toplayabileceğini hatırlamak da önemlidir; bu durum, herhangi bir uygulamanın toplayıp depolayabileceği tanımlanabilir veriyi azaltmanın değerini pekiştirir.

Tokee Kullanıcılarının Şu An Yapması Gerekenler

Tokee'de bir hesabınız varsa, kayıtlı telefon numaranızı potansiyel olarak tehlikeye girmiş kabul edin. Bu, özellikle bağlantılara tıklamanızı veya hesap bilgilerini onaylamanızı isteyen alışılmadık SMS mesajlarına karşı tetikte olmak anlamına gelir. Bir banka, kargo şirketi veya teknoloji firmasından geldiğini iddia eden mesajlara özellikle dikkat edin; zira telefon numaranız artık ihlal edilmiş verileri toplayan kişiler arasında dolaşıyor olabilir.

Aynı telefon numarasını diğer hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirmek için kullandıysanız, bu hesapları SMS tabanlı doğrulama yerine bir kimlik doğrulayıcı uygulama kullanacak şekilde değiştirmeyi düşünün; zira ihlallerde ifşa edilen telefon numaraları, hesapları ele geçirmek amacıyla tasarlanmış SIM değiştirme planlarında sıkça kullanılır.

Daha genel bir bakış açısıyla bu ihlal, hangi uygulamaların telefon numaranıza erişimi olduğunu denetlemek ve cihazınızdaki mesajlaşma uygulamalarına verilen izinleri gözden geçirmek için yararlı bir hatırlatıcıdır. Uygulamaların en başta toplayabileceği veriyi sınırlamak, her platformun veritabanlarını doğru şekilde güvence altına aldığını ummaktan daha kalıcı bir koruma biçimidir.

Son olarak, mesajlaşma uygulamalarına bağlıyken tutarlı biçimde VPN kullanmak, uygulamanın kendi güvenlik uygulamalarından bağımsız olarak işleyen bir koruma katmanı ekler. Tokee'nin ya da başka herhangi bir platformun arka uç altyapısını nasıl yönettiğini kontrol edemezsiniz, ancak bu sunuculara ilk etapta ne kadar tanımlayıcı bilginin ulaştığını kontrol edebilirsiniz.

Tokee ifşası, mesajlaşma platformlarındaki gizliliğin yalnızca uygulamanın kendisinde yerleşik şifrelemenin bir işlevi olmadığını hatırlatıyor. Aynı zamanda platformun iletişimlerinizi çevreleyen veriyi nasıl ele aldığına da bağlıdır; bu denklemin o kısmı ise bir kez teslim ettikten sonra tamamen kontrolünüzün dışına çıkar. Bu teslimiyeti en aza indiren alışkanlıklar edinmek, sıradan kullanıcılar için mevcut en pratik savunmadır.