Geçtiğimiz Cumartesi günü bir hacker forumunda, 533 milyon satır kişisel veri içeren Facebook datalarının sızdırıldığına dair bilgi yayınlandı. Bazı kişiler ise Telegram gibi mesajlaşma uygulamaları üzerinden bu veriler için talepte bulunmaya başladı ve gelen örnek verilerde bu durumu kanıtlamaktaydı. Forum ekran görüntülerini incelediğimizde ise kullanıcı verileri olduğu açıkça gösteriliyordu.
Bu hacker formunda paylaşılan veriler önce ücretli (ilk başlarda 3-5 euro gibi fiyatlarla forumda kredi almaya yönlendirilerek) sonrasında ise ücretsiz olarak birçok kaynak üzerinde indirilebilir şekilde dağıtılmaya başladı. Verileri incelediğimizde ise başta telefon numaraları olmak üzere, e-posta adresi, lokasyon, cinsiyet ve benzeri şekilde kişisel veriler içerdiği ortaya çıktı.
Sıkıştırılmış formatta paylaşılan verileri indirdiğimiz zaman ülke bazında sınıflandırıldığını görüyoruz. Aralarında Türkiye’nin de yer aldığı veriler 106 ülke için sınıflandırılarak toplamda 533 milyon 313 bin 128 adet satır içeren Facebook datasını paylaşıldı.
Satır sayısı: 533.313128 Adet
Ülke sayısı: 106 Adet
Veri boyutu: 15 GB
Türkiye kullanıcı datasını incelediğimiz zaman sıkıştırılmış Turkey.zip adlı dosyanın 641 MB (672.381.545 bayt) olduğunu görmekteyiz. Bu dosyayı sıkıştırılabilir formattan, metin (text) formatına açtığımız zaman ise Turkey.txt adlı dosyanın 2,91 GB (3.129.423.237 bayt) boyuta ulaştığını görüyoruz. Yaklaşık olarak 3 GB boyuta sahip olan bu veri kümesi içeriğinde Facebook kullanıcılarının kişisel verileri yer almaktadır.
Tüm veri dosyası 106 ülkeden oluşurken 533 milyondan fazla Facebook kullanıcısının kişisel bilgilerini içeriyor. Telefon numaralarını, Facebook kimlikleri (ID), isim ve soyad bilgileri, lokasyonlar, doğum tarihleri, biyografiler ve bazı satırlarda (bazı kullanıcıların e-postaları var) e-posta adreslerini de içerdiğini görmekteyiz.
İlk olarak Ocak ayında yine aynı forum üzerinde belirlenen bir fiyata bu verileri çekebileceklerini iddia eden bir bot geliştirildiğini belirten paylaşımlar yer almaktaydı. Bu paylaşımlarda bir hackerın bu verileri elde edebileceğini ve yazdığı bot sayesinde otomatik hale getirdiği söyleniyordu. Birçok kişi bu uygulamanın varolabileceğine inanmasa da bazı siber güvenlik uzmanları bu botun varlığını doğrulayacak beyanlarda bulunmuşlardı.
Facebook kullanıcılarının telefon numaralarının çevrimiçi olarak açığa çıktığı ilk olayı hatırlarsanız benzer bir durumla karşılaştığımızı söyleyebiliriz. 2019’da ortaya çıkan telefon numarası güvenlik açığı sayesinde milyonlarca kişinin telefon numarası ile verilerin elde edilebileceği de kanıtlanmıştı.
Facebook bu zafiyetin Ağustos 2019 yılında düzeltildiğine dair bir açıklamada bulunmuştu. Ancak bu durum, zafiyet giderilmeden önce kullanıcı verilerinin bu yöntemle ele geçirildiğini kanıtlamış oluyor.
Facebook bu zafiyeti düzeltmiş olsa dahi, veri kümesini incelediğimizde telefon numarası üzerinden bu verilerin toplandığını söyleyebiliriz. Veri kümesinde birçok kullanıcıda bazı veriler eksik olmasına rağmen telefon numarası hanesinin tüm satırlarda dolu olarak gelmesi bu tezimizi de doğrular niteliktedir.
Telefon numaraları, doğum tarihi gibi özel bilgileri içeren bu büyüklükteki bir veritabanı, kesinlikle ve kesinlikle kötü niyetli siber korsanlar tarafından kullanılabilir. Özellikle de sosyal mühendislik saldırıları veya hedefli atak senaryolarında bu bilgiler çok değerlidir ve kurbanları tuzağa düşürmek için kullanılmaktadır.
Veri kümesinde yer alan verilerin formatı ise aşağıdaki gibidir.
id, phone, first_name, last_name, email, birthday, gender, locale, hometown, location, link
Bu formatta yer alan verileri incelediğimiz zaman bazı ülke dosyalarının zip, bazılarının rar, bazılarının ise 7z sıkıştırma formatı ile yayınlandığını görüyoruz. Buradan da verilerin belirli aralıklarla veya farklı zamanlarda hatta farklı kişiler tarafından da toplandığını söylemek mümkün. Diğer bir dikkatimizi çeken husus ise “Singapore1 File Size: 74.0 MB”, “Japan A File Size: 12.3 MB” şeklinde ülke adlarının kodlamaları oldu. Singapur ve Japonya’nın birkaç parça verisi olabileceği dikkatimizi çekerken bu veri kümesinde yalnızca bu dosyalara yer verilmiş, devamı görülmemiştir.
- Toplamda 106 ülkeden 533 milyon (533.313128 adet) Facebook kullanıcısının bilgileri sızdı.
- Veri kümelerini açıp, okumak istediğimizde sıkıştırılmış 15GB verinin açıldığında boyutu 70GB’ı geçtiğini görüyoruz.
- Bazı kaynaklarda bu veri kümesi 105 ülkeden oluşurken, Afrika verisinin Kuzey Afrika olarak ikinci kez yayınladığı kaynaklar da bulunuyor.
Bu veri kümesi için henüz net bir bilgi olmasa da 2019 yılında bildirilen cep telefonu zafiyetinden dolayı oluşturulan / toplanan eski veriler olduğu ortaya çıkıyor. Toplanan verilerin 2021 itibari ile çok da eskimeyeceğini özellikle de kritik veri olması sebebi ile değerli olabileceğini hatırlatmak isteriz.
Elbette ki veri kümesinde eksiksiz olarak yer alan tek verinin cep telefonu numaraları olduğu dikkat çekiyor. Aynı zamanda telefon numarası yazım formatına dikkatlice baktığımızda farklı farklı yazım tarzları yerine tüm numaraların +90 555 555 5555 formatında olduğunu görmek, bu açıklamayı doğrular niteliktedir.
Muhtemelen saldırgan veya saldırganlar Facebook’a 2019 yılında bildirilen bu zafiyeti otomatik olarak sömürdüklerini ve Facebook bu zafiyeti kapatana kadar verileri indirdikleri ortaya çıktı. Elbette ki bu verilerin 2019 yılından bugüne kadar istismar edildiğini hatta birçok siber saldırıda kullanıldığını söylemek de mümkün.
Sızdırılan bu kişisel verilerin, e-posta veya spam SMS, spam arama, robocall, gasp girişimleri, tehdit, taciz ve daha fazlası için kötüye kullanılabileceğini hatırlaratak analizlerimize devam ediyoruz. Diğer bir yandan bahis sitelerine satılması, e-ticaret sitelerine satılması da muhtemel ihtimaller arasındadır.
Veri dosyaları için ülke bazında satır sayıları.
1 Afghanistan 558.393
2 Africa 14.323.766
3 Angola 50.889
4 Albania 506.602
5 Algeria 11.505.898
6 Argentina 2.347.553
7 Austria 1.249.388
8 Australia 7.320.478
9 Azerbaijan 99.472
10 Bahrain 1.450.124
11 Bangladesh 3.816.339
12 Belgium 3.183.584
13 Bolivia 2.959.209
14 Botswana 240.606
15 Brazil 8.064.916
16 Brunei 213.795
17 Bulgaria 432.473
18 Burkina Faso 6.413
19 Burundi 15.709
20 Cambodia 2.838
21 Cameroon 1.997.658
22 Canada 3.494.385
23 Chile 6.889.083
24 China 670.334
25 Colombia 17.957.908
26 Costa Rica 1.464.002
27 Croatia 659.115
28 Cyprus 152.321
29 Czech Republic 1.375.988
30 Denmark 639.841
31 Djibouti 14.327
32 Ecuador 310.259
33 Egypt 44.823.547
34 El Salvador 4.779
35 Estonia 87.533
36 Ethiopia 12.753
37 Fiji 5.364
38 Finland 1.381.569
39 France 19.848.559
40 Georgia 95.193
41 Germany 6.054.423
42 Ghana 1.027.969
43 Greece 617.722
44 Guatemala 1.645.068
45 Haiti 15.407
46 Honduras 16.142
47 Hong Kong 2.937.841
48 Hungary 377.045
49 Iceland 31.343
50 India 6.162.450
51 Indonesia 130.331
52 Iran 301.723
53 Iraq 17.116.398
54 Ireland 1.449.919
55 Israel 3.956.428
56 Italy 35.677.323
57 Jamaica 385.890
58 Japan 428.625
59 Jordan 3.105.988
60 Kazakhstan 3.214.990
61 Kuwait 4.468.134
62 Lebanon 1.829.661
63 Libya 4.204.514
64 Lithuania 220.160
65 Luxembourg 188.201
66 Macao 414.228
67 Malaysia 11.675.894
68 Maldives 86.337
69 Malta 115.366
70 Mauritius 848.558
71 Mexico 13.330.561
72 Moldova 46.237
73 Morocco 18.939.198
74 Namibia 409.356
75 Netherlands 5.430.388
76 Nigeria 9.000.131
77 Norway 475.809
78 Oman 5.048.532
79 Palestine 3.367.576
80 Panama 1.502.310
81 Peru 8.075.317
82 Philippine 879.699
83 Poland 2.669.381
84 Portugal 2.277.361
85 Puerto Rico 130.586
86 Qatar 2.526.694
87 Russia 9.996.405
88 Saudi Arabia 28.804.686
89 Serbia 162.898
90 Singapore 3.073.009
91 Slovenia 229.039
92 South Korea 121.744
93 Spain 10.894.206
94 Sudan 9.464.772
95 Sweden 1.092.140
96 Switzerland 1.592.039
97 Syria 6.939.528
98 Taiwan 734.807
99 Tunisia 39.526.412
100 Turkey 19.638.821
101 Turkmenistan 16.279
102 United Arab Emirates 6.978.927
103 United Kingdom 11.522.328
104 Uruguay 1.509.317
105 USA 32.315.282
106 Yemen 4.617.359
Toplam Veri Sayısı; 533.313.128 adettir.Sızdırılan Türkiye Facebook Verisi
Sızdırılan Türkiye verisinin 19.638.821 adet satırdan oluştuğunu görüyoruz. Bu verinin ilk satırında sütun adları yer aldığından dolayı 19.638.820 adet kullanıcı verisi içermektedir.
root@PriviaSec:/home/PriviaSec# wc -l Turkey.txt
19.638.820 Turkey.txtİlk satır kayması veyahut başka bir sebeple aslında kullanıcı verisinin cep telefonu verilerimizi grep komutunu kullanarak saydırdığımızda bu 19.638.819 adet olduğunu gösteriyor.
root@PriviaSec:/home/PriviaSec# cat Turkey.txt | grep "+905" -c
19.638.819Yirmi milyona yakın olan bu cep numaralarını ilk üç hanelerine göre sıralayarak saydığımda aşağıdaki gibi bir tablo oluşmaktadır. Cep telefonu numarası cinsiyet ve doğum tarihi gibi bilgiler bir araya geldiği zaman kritik bir öneme sahip bir veriden bahsediyoruz.
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90530" -c
1.231.329
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90531" -c
1.989.590
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90532" -c
1.991.915
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90533" -c
1.474.257
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90534" -c
1.973.911
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90535" -c
2.374.716
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90536" -c
2.210.386
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90537" -c
2.335.725
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90538" -c
2.157.846
root@TEAkolikPC:/home/PriviaSec# cat Turkey.txt | grep "+90539" -c
1.899.144Yukarıda görülebileceği gibi 0530 ile 0539 arasındaki tüm telefon numaraları listelenmiştir. Bu numaralara baktığımızda toplamda tüm veriyi tamamlıyor.
Ancak dikkatimizi çeken husus ise Turkcell blogunda yer alan bu numaraların dışında diğer Avea ve Vodafone’a ait olan telefon bloklarından hiçbir numara olmadığıdır! Yani bu kayıtlar arasında 0540, 0541, 0542, 0543, 0544, gibi numaralar olmadığı gibi, 0554, 0555, 0556 gibi numaralar da bulunmamaktadır. Yalnızca Turkcell’e ait olan telefon blogu veri kümesinde yer almaktadır.
Bu noktada siber saldırganların ülkemizde en çok kullanılan operatörün numara bloklarını kullanarak veriyi çektiğini açıkça göstermektedir.
Bu da zafiyetin aslında 2019 yılında ortaya çıkan telefon numarasından kişisel veri çekme olduğunu kanıtlamaktadır. Diğer operatörlerimiz için bir deneme yapılmadığından dolayı diğer operatörlerin numara bloklarına ait bir kullanıcı verisi görülmemiştir. Bu durumu doğrulamak için Azerbaycan datasını inceliyoruz ve bu data içerisinde de aynı şekilde popüler olarak kullanılan mobil operatörün telefon numarası bloğu kullanıldığını kanıtlıyor.
Kısacası siber saldırganlar Facebook’un telefon numarasından arkadaşını bulma özelliğinde keşfettikleri zafiyeti sömürerek kişisel verilere ulaşmak için en çok kullanılan telefon numarası bloğunu kullandıkları ortaya çıkmıştır.
Cinsiyet Dağılımı
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep ",male," -c
13.338.168
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep ",female," -c
5.463.127Data içerisinde male ve female olarak cinsiyet bilgisine de yer verilmiştir. Yukarıdaki gibi erkek ve kadın sayılarını sıraladığımız zaman 20 milyona yakın olan bu datanın 13.338.168 adedi erkek, 5.463.127 adedinin de kadın profili olduğunu görmekteyiz.
Username Kullanımı
10000XXXXXXXX,+90537XXXXXX,MXXXXX,AXXXX,None,None,male,tr_TR,Aksehir,Location*,Aksehir,link*,https://www.facebook.com/username,,,,,,,,,,,,,,
10000XXXXXXXX,+90537XXXXXX,MXXXXX,TXXXX,None,None,male,tr_TR,None,Location*,None,link*,https://www.facebook.com/profile.php?id=1000XXXXXXProfil datası içerisinde son satırdaki sütunda profil id ve username bilgileri bulunmaktadır. Bu noktada bazı kişilerin username kullanırken bazılarının username kullanmadığını ?id= verisinden çıkarmaktayız.
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "?id=" -c
5.679.125Bu datayı filtrelediğimiz zaman 5.679.125 adet kullanıcının username kullanmadığı ortaya çıkmaktadır. Geriye kalan 14 milyon civarı kullanıcı profili ise facebook.com/username ile bu veri kümesinde belirtilmiştir.
Lokasyon Bilgisi
Profil datası içerisinde lokasyon bilgilerine ve Facebook üzerinde gelirtilen yaşadığı yer (memleket) bilgisine de yer verildiği dikkatimizi çekmiştir. Bu veriler locale, hometown, location, link şeklinde sıralanmıştır.
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep ",None,Location\*,None,link\*," -c
9.920.320Veriyi “None,Location*,None,link*,” şeklinde filtrelediğimiz zaman 9.920.320 profilde lokasyon bilgisi bulunmadığı ancak geriye kalan 10 milyoluk büyük kısımda ise en az bir adet lokasyon bilgisinin yer aldığı ortaya çıkmıştır.
E-posta Adresleri
Bu veri kümesinde bazı profillerde e-posta adreslerinin alınabildiği de dikkatimizi çekmiştir. Veri kümesi içerisinde @ işareti yalnızca e-posta adreslerinde geçmektedir. Bu sebeple @ işaretine göre filtreleme yaparak aşağıdaki bilgiye ulaşmaktayız.
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "@" -c
179.803Yukarıdaki komutla @ işaretlerine göre filtreleyip saydığımız zaman 179.803 adet e-posta adresi tespit ediliyor. Veri kümesinde yer alan 179.803 adet e-posta için en popüler servis sağlayıcıları ise aşağıdaki gibi listelenmiştir. 20 milyonluk bir veri kümesi içerisinde 179bin adet e-postanın olması da bizler için önemli bir sonuçtur.
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "@hotmail" -c
135.130
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "@gmail" -c
25.069
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "@yahoo" -c
2.967
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "@mynet" -c
2.059
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "@yandex" -c
345Bu filtreleme sonucunda hesapların büyük bir çoğunluğunda Hotmail e-posta servisi kullanıldığı ardından Gmail ve Yahoo ile devam ettiği dikkatimizi çekmiştir. Hotmail e-posta servisini kullanan 135.130 kişi bulunurken, Gmail servisini kullanan 25.069 kişi olduğunu görüyoruz. Çok eski olsa da halen daha Facebook’a kayıtlı 2.967 adet Yahoo mail adresi de bulunmaktadır.
TR Uzantılı E-posta Adresleri
TR uzantıya sahip olan e-posta adreslerini filtrelediğimizde ise aşağıdaki gibi bir sonuçla karşılaşıyoruz. Bu veri kümesinde yer alan gov.tr uzantılı e-postalar ile edu.tr uzantılı e-posta adreslerinin yer aldığı da ortaya çıkmıştır. Edu.tr uzantılı e-postaları genelde öğrenciler de kullanırken, gov.tr uzantılı e-postaların yalnızca devlet kademelerinde kullanıldığını hatırlatmak isteriz.
root@TEAkolikPC:/home/teakolik# cat Turkey.txt |egrep -E "\@.{1,99}\.com\.tr" -c
2725
root@TEAkolikPC:/home/teakolik# cat Turkey.txt |egrep -E "\@.{1,99}\.net\.tr" -c
28
root@TEAkolikPC:/home/teakolik# cat Turkey.txt |egrep -E "\@.{1,99}\.org\.tr" -c
32
root@TEAkolikPC:/home/teakolik# cat Turkey.txt |egrep -E "\@.{1,99}\.edu\.tr" -c
155
root@TEAkolikPC:/home/teakolik# cat Turkey.txt |egrep -E "\@.{1,99}\.gov\.tr" -c
15Facebook Dil Kodlaması
Aynı zamanda bu veri kümesinde dil kodlaması da bulunmaktadır. Aşağıdaki gibi tr_TR olarak dil kodlamasını filtreleyerek Facebook’u Türkçe dilde kullanan kişilerin sayısını ortaya çıkartıyoruz.
root@TEAkolikPC:/home/teakolik# cat Turkey.txt | grep "tr_TR" -c
17.586.130Bu rakama bakarak veri kümesinde yer alan 17 milyon kişinin Facebook’u Türkçe dilde kullandığını görürken, geriye kalan 2 milyon civarında profilin ise farklı dillerde kullandığı görülmüştür.
Şehirler
Veri kümesi içerisinde lokasyon bilgisi verenler arasında üç şehirimiz için aşağıdaki gibi filtreleme yapılmıştır.
root@TEAkolikPC:/home/teakolik# egrep -iE "[I,İ,i,ı]stanbul" Turkey.txt -c
2.503.593
root@TEAkolikPC:/home/teakolik# egrep -iE Ankara Turkey.txt -c
596.453
root@TEAkolikPC:/home/teakolik# egrep -iE "[I,İ,i,ı]zm[I,İ,ı,i]r" Turkey.txt -c
513.927
Bu veri filtrelemesine göre lokasyon verisi içerisinde de İstanbul ön plana çıkarken ikinci sırada Ankara ve sonrasında İzmir’i görmekteyiz.