Have I Been Pwned nedir? Have I Been Pwned güvenilir mi?

Dijital çağda yaşıyoruz ve çocukluk fotoğraflarımızdan şirket içi mesajlaşmalarımıza, vatandaşlık numaralarımızdan öğrenci belgelerimize varana kadar kendimizle ilgili sayısız bilgi ve belgeyi internet ortamında depoluyoruz.

Her gün milyarlarca kişi tarafından kullanılan internet ortamına büyük bir otelin havuzu misali giren çıkan belli olmuyor. Üstelik internet bir anlamda havuzdan bile tehlikeli diyebiliriz. Çünkü havuza girip çıkanları kontrol etmek mümkün ancak örneğin kaydolduğumuz bir sosyal medya uygulamasında hırlısı mı var hırsızı mı var, bunları kaçı bizleri gözetliyor gibi soruları cevaplamamız o kadar da kolay değil.

Ama en azından verilerimizin çalınıp çalınmadığını bize gösteren ve bu sayede dijital dünyadaki varlığımızı koruma altına almamızı sağlayan çeşitli yöntemler mevcut. İşte onlardan bir tanesi de: Have I Been Pwned? sitesi.

HAVE I BEEN PWNED NEDİR?

"Have I Been Pwned?" (HIBP), internet üzerindeki veri sızıntılarını kontrol etmek için kullanılan bir hizmettir. Bu platform, kullanıcıların e-posta adreslerinin veya şifrelerinin veri sızıntılarına kurban gidip gitmediğini anlamalarına yardımcı olur.

Öncelikle konuyu bağlamına oturtmak adına "Veri sızıntısı ne demek?" sorusunu cevaplamakta fayda var. Bazen hackerler veya daha kolay anlaşılacağı şekilde kötü niyetli kişiler, belirli bir platforma (iCloud, iTunes gibi) hack saldırısı düzenleyerek, o platformda kayıtlı olan kullanıcıların bilgilerine erişirler ve genellikle bu bilgilerin "merdiven altı" bazı forumlarda paylaşıldığını duyarız.

İşte "Have I Been Pwned?" da bu internet siteleri veya platformlardaki güvenlik ihlalleri sonucu ortaya çıkan veri sızıntılarını izleyen bir veritabanını içerir. Kullanıcılar da kendi e-posta adreslerini veya şifrelerini HIBP'nin arşivinden kontrol ederek veri sızıntılarına maruz kalıp kalmadıklarını anlayabilirler.

Have I Been Pwned? sitesinin iki temel işlevi vardır:

• E-posta kontrolü: Kullanıcılar e-posta adreslerini HIBP üzerinde sorgulayarak bu adreslerin geçmiş veri sızıntılarına karışıp karışmadığını kontrol edebilirler.
• Şifre güvenliği: HIBP, kullanıcıların kullanmakta olduğu şifreler ile güvenlik ihlalleri sonucu ortaya çıkan sızıntılarda kullanılan şifreleri karşılaştırarak parolalarının çalınıp çalınmadığını anlamalarını sağlar.

HAVE I BEEN PWNED NE KADAR DOĞRU?

Yukarıda da belirttiğimiz gibi, "Have Been Pwned?" çeşitli internet sitelerindeki güvenlik ihlalleri sonucu ortaya çıkan veri sızıntılarını izliyor. Yani falcı değil, tahmin yürütmüyor veya olmayan bir şeyi olmuş gibi göstermiyor. Sitedeki veritabanında olan bilgileri size göstermekten öteye gitmiyor.

Örneğin belli bir tarihte yaşanmış bir güvenlik ihlalinde e-posta adresiniz veya şifreniz kullanılmış olabilir ama bu güvenlik ihlali henüz HIBP'nin radarına takılmamışsa sitenin size "Bilgilerin çalınmadı" dediğini görürsünüz. Aynı şekilde bu senaryonun tam tersi de yaşanabilir.

HAVE I BEEN PWNED GÜVENİLİR Mİ?

Bir de işin "tavuk mu yumurtadan çıkar yumurta mı tavuktan?" sorusunu akıllara getiren bir tarafı var. Evet "Have I Been Pwned?" bilgilerinizin güvende olup olmadığını gösteriyor, peki "Have I Been Pwned?" güvenli mi?

İnternet sitesinin kurucusu Troy Hunt, "E-postaları bir yere saklayıp saklamadığınızı nasıl bilebilirim?” sorusuna "Bilemezsiniz, ama saklamıyoruz." diye cevap veriyor. Yani sitede yazdığınız kendinize ait bilgilerin saklanmadığını öne sürüyor.

HAVE I BEEN PWNED NASIL KULLANILIR?

Have I Been Pwned? sitesini kullanmak ise çok basit. Yapmanız gereken tek şey, telefondan veya bilgisayardan haveibeenpwned.com internet sitesini açmak ve karşınıza gelen alana e-posta adresinizi yazmak. "Passwords" sekmesinde ise şifrelerinizin güvenliğini kontrol edebilirsiniz.

Eğer "Good news - no pwnage found" uyarısı çıktıysa yazdığınız mail adresi ya da şifre herhangi bir veri ihlaline karışmamış demektir. "Oh no - pwned!" yazısıyla karşılaştıysanız da bilgileriniz bir güvenlik ihlalinde kullanılmış anlamına gelir. Peki bu durumda ne yapmalısınız?

E-mail adresinizle beraber kullandığınız bütün sosyal medya hesapları, e-Devlet Kapısı, diğer internet siteleri gibi platformlardaki şifrelerinizi bir an önce değiştirin. Ayrıca mutlaka "iki faktörlü kimlik doğrulaması" özelliğini de aktif hale getirmelisiniz. Yapabilecekleriniz en fazla bu kadar.