Sosyal Ağlardaki 3. Parti Uygulama Problemleri

Facebook, Twitter ve LinkedIn gibi ağlar 3. parti uygulamalarla fazladan fonksiyonlar kazanarak kullanıcılar için daha yararlı olabiliyor. Fakat 3. parti uygulamalara ağ hesabına erişim izni yetkisi verilmesi bir süre sonra gizlilik ve mahremiyet adına büyük riskleri de beraberinde getiriyor. Kısacası 3. parti uygulama problemleri sosyal medya güvenliğinde önemli bir yer tutuyor.

UYARI: Bu yazı ve yazı dizisinin tamamı bir teknik proje halinde bir yüksek lisans programında zaten sunulmuştur. Bu yazıların ve içindeki herhangi bir bilginin izinsiz alınması, kopyalanması, çoğaltılması ve başka bir yerde farklı bir kişi tarafından yazılmış gibi yayınlanması/kullanılması kesinlikle yasaktır.

– BÖLÜM 4 –

SOSYAL AĞLARDAKİ 3. PARTİ UYGULAMA PROBLEMLERİ

Özellikle Facebook’ta oyun oynamak için veya verdiği ek hizmeti kullanmak için hesabınıza yetkilendirdiğiniz sosyal oyunlar ve uygulamaları bir zaman sonra kullanmayı bıraksanız bile, hesabınıza yetkili erişime sahip bu uygulamalar verdiğiniz yetkiler çerçevesinde ağdaki kayıtlı bilgilerinizi çekmeye devam etmektedir. Yani sizin onları kullanmayı unutmanız, onların sizi unuttuğu manasına gelmemektedir.

Sosyal ağları daha fonksiyonel kılma ve onlara yeni özellikler kazandırma adına kullanıcılar tarafından hesaplarına yetkili erişim (authorized access) verilen 3. parti uygulamalar hesapların şifresine bile ihtiyaç duymadan en hassas kişisel verileri hesaba bağlı kaldığı sürece çekmekte, yani her daim takip yapmaktadır. Zamanla kullanılmadığından unutulan bu 3. parti uygulamalar bağlı olduğu hesap var olduğu sürece kullanıcının güncel verilerini sürekli olarak çekerken, hiçbir ek yetkiye de ihtiyaç duymamaktadır. Çünkü sadece bir seferliğine hesaplara erişim yetkisi alan 3. parti uygulamalar için sonradan ana hizmet sağlayıcısı tarafından bir yetki güncellemesi istenmemektedir.

İşte bu durum kullanıcıların mahremiyeti adına büyük bir zafiyet doğurmaktadır. Sürekli erişim yetkisini elde etmiş 3. parti uygulamalar istedikleri zaman duruma göre kullanıcıların mesajlarını okuyabilir, dosyalarının içeriğine ulaşabilir ve sosyal profilleri tümüyle tarayıp indeksleyebilmektedir.

 

SOSYAL AĞLARDAKİ 3. PARTİ UYGULAMA KONTROLLERİ ve ÖNLEMLER

Çoğu kullanıcının görmezden geldiği ya da unuttuğu bir gerekliliktir ki, 3. parti uygulamaların hesaplara erişim yetkisi ana servis üzerindeki ayarlardan kolaylıkla iptal edilebilmekte ve gizlilik korunabilmektedir. Her bir sosyal ağın ayrı ayrı ve karmaşık ayarlarının olması kullanıcıları bu ayarlara gidip düzenlemekten de kesinlikle alıkoymamalıdır.

3. parti uygulamaların en etkin olduğu ve çok detaylı bir yetkilendirme ayarlarının olduğu ağ Facebook’tur. Facebook’ta 3. parti uygulamaların, bağlı bulunduğu hesabın adı, profil resmi, kapak fotoğrafı, cinsiyeti, ağları, kullanıcı adı ve kullanıcı kimliğinin yanında arkadaş listesi ve kullanıcının herkese açmayı seçtiği diğer bilgilere de erişimi vardır. Bunun yanında başkalarının kullandığı uygulamalar, uygulamayı kullanmayan bir Facebook kullanıcısındaki bilgileri o kullanıcılar üzerinden uygulamalara taşıyabilir. Yani bir Facebook kullanıcısının kullanmadığı ama arkadaşının kullanmış olduğu bir uygulama yüzünden kullanıcı bilgilerinin hiç kullanılmayan bir uygulamaya aktarılması sorunu vardır. İşte Facebook’taki uygulama ayarları bölümünde bu tür hassas ayarların yapılması elzemdir. Ayrıca bu bölümde hiç kullanılmayan uygulamaların da yetkileri kaldırılabiliyor.

Facebook’a kıyasla Twitter ve LinkedIn’deki 3. Parti uygulama ayarları ise daha basit ve az detay içeriyor. Bu ayarlarda sadece 3. Parti uygulamaların yetkileri tamamen kaldırılabiliyor. Belirli dönemlerde bu ayarlar kontrol edilip, gereksiz 3. Parti uygulama erişimlerinin kaldırılması gerekmektedir. Ayrıca özellikle Facebook’ta kullanılacak uygulamaların kullanıcıların gizlilik, güvenlik ve mahremiyetlerine ne kadar önem verdikleri ve hangi hassas verilerini aldıklarına dair uygulamaların itibar ağı ve tarayıcı eklentisi olan App Advisor’ın da kullanılmasında yarar vardır.

 

Bir sonraki bölümde sosyal ağların kendi mobil uygulamalarından kaynaklanan problemler ile bunlar üzerinde yapılması gereken kontroller ve önlemlerden bahsedeceğiz.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.