Ana Sayfa / Donanım / GMail ile Netflix’e üye olduysanız, dikkat edin!
donanim superonline eu

GMail ile Netflix’e üye olduysanız, dikkat edin!

Gmail ve Netflix, güvenlik açığı olmayan iki sistemin bir araya gelmiş olarak bir güvenlik açığı oluşturmalarına örnek olacak bir vakaya niçin oldular. Bir Gmail ve Netflix kullanıcısı, Gmail’in kullanıcılar için iyi bir özellik olduğu mevzusunda ısrar etmiş olduğu “noktalar mühim değil” özelliği sebebiyle, kart bilgilerini başka birinin Netflix hesabına eklemesine niçin olabilecek bir e-posta aldı ve bu durumun yeni bir kimlik avı dolandırıcılığı yöntemi olarak kullanılabileceğini fark etti.

Açığı farkeden James Fisher, 2013 senesinde jameshfisher@gmail.com adresini kullanarak Netflix’e kaydolmuştu. Değişik bir eyalette benzer bir ada haiz bir şahıs de, Gmail’in “noktalar mühim değil” özelliği sebebiyle jameshfisher@gmail.com adresiyle aynı kabul etmiş olduğu james.hfisher@gmail.com adresini Netflix’e kaydolmak için kullanmıştı. Faturalandırmada bir şeyler ters gittiğinde, Netflix adresin noktalı versiyonunun arkasında başka birinin bulunduğunu bilmeden, gerçek Fisher’a e-posta göndererek kredi kartı bilgilerini yenilemesini istedi.

Bir şeylerin yanlış bulunduğunu fark ettiğinde, kredi kartı numarasını yenilemesine- daha doğrusu bir başkasının Netflix hizmeti için ödeme yapmasına – saniyeler kalan Fisher yaşamış olduğu vakası şöyleki konu alıyor: “E-posta hakkaten netflix.com’dan geliyordu, bu yüzden bağlantıya tıkladım. Oturum açıldı ve beni hakkaten netflix.com’da barınan ‘Kredi yada Banka Kartını Güncelle’ sayfasına götürdü. Burada herhangi bir kimlik avı yok. Fakat bekleyin, ‘Güncelleme’ sayfası reddedilen kartımı **** 2745 olarak gösterdi. Bu tanımadığım bir kart numarası. Kayıtlarımı denetim ettim, bu kart numarasını daha ilkin asla görmedim. Neler oluyor? Sonunda bu e-postanın aslına bakarsak james.hfisher@gmail.com adresine gönderildiğini anladım. Normalde ise hiçbir nokta olmadan jameshfisher@gmail.com e-posta adresini kullanıyorum. Bu e-postanın geri döneceğini düşünebilirsiniz, sadece bunun yerine benim gelen kutuma ulaştı. Bu sebeple Gmail adreslerinde ‘noktalar mühim değil’.”

Gmail adreslerinde nokta işaretlerinin önemi yoktur. Birisi size e-posta gönderirken adresinize yanlışlıkla nokta eklerse söz mevzusu e-posta gene de size teslim edilir. Mesela, e-posta adresiniz mehmetdemir@gmail.com ise adresinizin tüm noktalı sürümlerine sahipsiniz anlamına gelir:

mehmet.demir@gmail.com,
meh.met.de.mir@gmail.com,
m.e.h.m.e.t.d.e.m.i.r@gmail.com

Güvenlik kusuru nerede? Bazıları Netflix’in hatası bulunduğunu düşünebilir. Netflix’in, kayıt esnasında e-posta adresini doğrulaması gerekir. Sadece kayıt esnasında başka birinin adresini kullanmak yalnız hesabın kontrolünü o kişiye devreder. Netflix‘in james.hfisher@gmail.com kayıtlarına izin vermemesi icap ettiğini düşünenler de olacaktır sadece bu, Netflix’i ve öteki tüm internet sayfalarını Gmail’in kurallı algoritması hakkında içsel bilgiye haiz olmaya zorlayacaktır. Bu durumda aslolan probleminin Gmail’in “noktalar mühim değil” özelliğinde olduğu söylenebilir. Ilk olarak, asla kimse bu sonsuz e-posta adresleri setini istemez. Hatta kullananların bir bir çok da bu adreslere haiz olduklarının bilincinde bile değildir. Kendi sonsuz adres kümelerinin bilincinde olan Gmail kullanıcıları bile, bunların ortaya çıkarabileceği dolandırıcılıklardan habersizdir.

Bitdefender Antivirüs uzmanlarına gore bu durum, standart bir kimlik avı dolandırıcılığının, iki hizmet arasındaki dikkatsizlikten iyi mi yararlanabileceğini gösteriyor. Hakikaten de, Netflix üyeliğiniz için birini kandırıp ödeme yaptırmanız gülünç derecede kolay görünüyor. Güvenlik uzmanları bu durumu, güvenlik açığı olmayan iki sistemin bir güvenlik açığı oluşturmak için bir araya gelmesine örnek olarak tanımlıyor. Hakikaten de, söz mevzusu olan hiçbir hizmet bu mevzu için tam olarak suçlanmayacaktır, fakat şimdi bir ihtimal bir tanesi bu durumu ele alacaktır.

Google ve California Üniversitesi, kimlik avının, 2017’de hesap tabanlı çevrimiçi hizmetlere yönelik en büyük tehdit bulunduğunu açıklayan bir emek harcama gerçekleştirmişti. E-posta analizinde uzmanlar tarafınca derlenen veriler, ABD ve AB’deki en iyi e-perakendeciler tarafınca işletilen kök alan adlarının %87,6’sının tüketicilerini kimlik avı dolandırıcılığına maruz bıraktığını gösteriyordu.

Bu, Gmail/Netflix benzer biçimde değişik hizmetlerdeki yasal işlevselliği sömürerek asla yoktan oluşturulmuş bir kimlik avı dolandırıcılığına muhteşem bir örnek. Global güvenlik yazılımları şirketi Bitdefeder Antivirüs, genel kaide olarak, satmaca bilgilerini yenilemenizi isteyen herhangi bir e-postaya karşı dikkatli olmanız gerektiği mevzusunda uyarıyor. Daima postadaki tüm kişisel bilgilerin doğru olup olmadığını deneyin ve bu tür değişimleri yapmanın hakkaten lüzumlu bulunduğunu iki kez denetim etmeden ilkin kredi/banka kartı bilgilerinizi vermeyin yada şifrenizi yenilemeyin. Kimlik avı, fena oyuncular için en popüler hücum vektörlerinden biridir ve çevrimiçi hizmetlere yönelik en büyük tehdittir.

Mobil teknolojiler ve GSM operatörü önde olmak suretiyle birçok teknolojik alanla ilgilenerek, sizlere en yararlı ve en güncel detayları sunmak için elimden geleni yapıyorum.

ZTE firmasının alt markalarından olan Nubia markası yeni oyuncu telefonunu 19 Nisan tarihinde resmi olarak duyuracak.

Samsung, Nisan ayı Android güvenlik yaması ile beraber yayınladığı güncelleme ile Galaxy A8 (2018) ve Galaxy J7 Prime telefonlarına yeni özellikler getiriyor.

Huawei’nin orta düzey özelliklere haiz yeni çerçevesiz ekran tasarımlı akıllı telefonu Huawei Y6 (2018) modeli uygun fiyat etiketiyle resmi olarak duyuruldu.

Huawei’nin orta ve üst segment kullanıcıları için geliştirdiği P20 Lite’ın Türkiye fiyatı 2399 TL olarak duyuruldu.

Popüler çevrimiçi müzik dinleme servisi Spotify, parasız abonelik servisleri için hazırladığı yeni özelliklerini duyurmaya hazırlanıyor.

Meizu 15 çerçevesiz ekranıyla tekrardan çalışır halde görüntülendi. Görselde cihazın üst taraftan ve yanlardan asla çerçevesi yokmuş benzer biçimde görünüyor.

Xiaomi Blackshark oyun telefonu, Snapdragon 845 yonga seti, 8GB, sıvı soğutma ve ayrılabilir GamePad benzer biçimde özellikleri ile resmi olarak duyuruldu.

Xiaomi’nin 25 Nisan tarihinde tanıtılacak akıllı telefonu Mi 6x’in özellikleri XDA-Developers tarafınca ortaya çıkarıldı.

LG, kullanıcılarına daha süratli güncelleme saplamak amacıyla, Global Güncelleme Merkezi’ni Cenup Kore’de açtı.

Huawei’nin P20 serisi ile beraber duyurusunu yapmış olduğu ve aniden dünyanın en pahalı akıllı telefon modeli olan Huawei Mate RS Porsche Design, İngiltere’de ön siparişe sunuldu.

OKUDUYSANIZ yada IZLEDIYSENIZ PAYLAŞIN LÜTFEN HERKES OKUSUN ve IZLESIN.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

CLOSE
CLOSE
Copied!