Geçiş döneminde Twitter’ın DM özelliğine dikkat!
Yazının başlığını DM’den yürümeyi hobi haline getirenler için atmadım. Karşı tarafın ifşa etmesinden bile korkmadan yürüyen o cesur yürekler özel yazışmalarına aynen devam edebilir. “Elon Musk aldı diye, özel yazışmalardan mı vazgeçiyoruz?” diye soracaklar da kısmen rahat olabilir. Başlıktaki uyarının nedeni, sadece Twitter’ı Elon Musk’ın satın almış olması değil. Evet, Musk’ın satın alma sürecinin tamamlanmasının çoğunluğu olumsuz ve riskli pek çok sonucu olacak. Bunları daha önce yazmış ve katıldığım programlarda anlatmıştım. Bu yüzden çok tekrara girmek istemem ama önceden de çok dikkatli kullanılması gereken Twitter’ın özel mesajlaşma özelliği, el değiştirme sürecinde çok daha riskli bir güvenlik açığı içeriyor.
UÇTAN UCA ŞİFRELEME YOK
Öncelikle şunu bilmeliyiz: Twitter’ın özel mesajlaşma uygulamasında uçtan uca şifreleme yok. Uçtan uca şifreleme, gönderen ve alıcı/alıcılar dışında verilerin okunmasını ve gizlice değiştirilmesini önlemek için geliştirilmiş bir teknoloji. Bu şifreleme teknolojisi sayesinde, platformun kendisi dahil hiç kimse mesajları dışarıdan göremiyor ve talep eden yetkililerle paylaşamıyor. Belli başlı mesajlaşma programlarında mevcut olan bu teknoloji, Twitter’ın DM özelliğinde kullanılmıyor. Yani mesajlarınız yetkili üçüncü kişilerce okunabilir. Twitter’ın resmi olarak da yeni sahibi olan Elon Musk, 28 Nisan 2022 tarihinde attığı bir tweette “Twitter DM'leri Signal gibi uçtan uca şifrelemeye sahip olmalıdır, böylece hiç kimse mesajlarınızı gözetleyemez veya hackleyemez” diyerek bu açığa vurgu yapmıştı. Henüz Twitter’ın resmen sahibi olmadığı bir dönemde bunu söylediğine göre, şimdi düzeltmesinin önünde bir engel de kalmamış oluyor. Buna rağmen Twitter şu an bir geçiş döneminde ve bu yenilikler de zaman alacak. Daha önemlisi, Twitter’ın önceden de ciddi güvenlik açıklarının olduğu iddiaları hiç yabana atılır iddialar değil.
ZATKO’NUN İDDİALARINI HATIRLAYALIM
Ağustos ayının sonlarında yine bu köşede Twitter’ın eski Güvenlik Şefi Peiter Zatko’nun kim olduğunu hatırlatarak, iddialarına yer vermiştim. Her şeyden önce Zatko, işten çıkarıldığı için öfkelenmiş herhangi bir insan değildi. İnternet tarihinde yeri olan önemli bir hackerlık ve ardından siber güvenlik geçmişi vardı. Twitter’ın çok saldırıya uğradığı bir dönemde, oluşan algıyı temizlemek için işe alınacak kadar da ünlü bir figürdü. Zatko, şimdi Twitter’ın yabancı ülkelerden gelen yanlış bilgilendirme kampanyalarına karşı savunmasız olduğu, Hindistan devletinin işe alması için baskı yaptığı en az bir kişiyi işe almış olması, spamla mücadele konusundaki isteksizliği gibi önemli iddialarla meşru ihbarcı (whitsleblower) olmuştu. Daha sonra Zatko, iddialarını genişleterek ABD Senatosu Yargı Komitesi önünde de anlattı, onları da bu köşede yorumladım. Orada Zatko çok önemli bir uyarı yapmıştı. Demişti ki: “Şirket içindeki çalışanlar bu odadaki tüm senatörlerin Twitter hesaplarını devralabilir.” Dahası, “Twitter’daki 7 bin çalışanın yaklaşık yüzde 50’sinin, 400 milyon Twitter kullanıcısının tüm bilgilerine erişimi olduğunu” da söylüyordu. Twitter, bu iddiaların çoğunu yalanladı, kanıtlardan yoksun olduğunu söyledi ama bununla ilgili net bir tablo henüz ortaya çıkmadı. Ayrıca, Twitter’ın eski yönetimi yalanlasa da yeni sahibi Musk bu iddialara karşı kayıtsız değildi.
ÇOK KRİTİK SORULAR
O halde, bu kritik süreçte mutlaka şu soruyu sormalıyız: Şu anda Elon Musk’ın Hukuk, Politika ve Güvenlik Başkanı Vijaya Gadde dahil neredeyse tüm üst düzey yöneticileri görevden aldığı bir ortamda, bilgilere erişimi olan bu binlerce çalışan kimin tarafında kalacak? İşten ayrılmak üzere olan bir çalışanın milyonlarca kullanıcının verileriyle ayrılmayacağını ya da kurumu zorda bırakmak için bir sabotaja girişmeyeceğini nereden bileceğiz? Zatko’nun iddia ettiği gibi devletler adına çalışan ajanlar işe alındıysa, onların bu geçiş sürecindeki boşlukta sağlayacağı avantajlar olabilir mi? Dahası, Twitter’ın yönetiminde ve özellikle güvenlik birimlerinde çok kritik değişiklikler olurken bu hacker saldırıları için bir fırsat oluşturabilir mi? Öyle ya, özel mesajlaşmada uçtan uca şifrelemenin de olmadığı bir ortamda, hackerların elde edeceği veriler çok nitelikli olabilir. Aynı şekilde çevrimiçi dolandırıcılık, çocuklara yönelik cinsel istismar, seks ticareti, rıza dışı pornografi gibi konularda felaket senaryoları çoğaltılabilir.
DM’LERİN SAHİBİ OLARAK MUSK
Twitter’ın henüz sahibi olmayan bir Elon Musk, özel mesajlaşmalarda uçtan uca şifreleme özelliğinin olması gerektiğini söylemiş olabilir. Ancak Twitter’ın halihazırda sahibi olan Elon Musk aynı zamanda DM’lerimizin de sahibi. Üstelik Twitter’ın önceki sahiplik yapısından farklı olarak, Musk’ın çok farklı alanlarda çok farklı ülkelerle olumlu ilişkiler içerisinde olması gereken yatırımları var. Bunların en önemlilerinden birini, satın alma ilk gündeme geldiğinde Amazon kurucusu Jeff Bezos, işaret etmiş ve Tesla yüzünden Çin’e bu kadar bağımlıyken Twitter sahipliğinin riski konusunda sorular sormuştu. Aslında, bu yazıda özel olarak değindiğimiz DM’ler konusu sadece bir geçiş dönemi detayı. Bundan sonra asıl konuşacağımız şey, Twitter’ın sahiplik yapısı ve bu yüzden vermeye zorlandığı tavizler olacak. Musk her ne kadar “kuş özgürleştirildi” diye tweet atmış olsa da, bence kuş eskisinden çok daha tutsak durumda. Biz kullanıcılar içinse iki taraflı risk var: Birincisi özel mesajlaşma dahil verilerimiz özel bir şirket ve çılgın sahibinin elinde. İkincisi yaşadığımız ülke dahil dünyanın pek çok yerinde siyasetin seyrini değiştiren platform, artık eskisinden çok daha güvensiz; hem Musk’ın tartışmalı ‘ifade özgürlüğü’ fantezisi hem de ticari çıkarları açısından.