Dijital çağda çevrimiçi gizlilik ve güvenlik her zamankinden daha önemli hale gelirken, ücretsiz hizmetlerin cazibesi genellikle büyük riskleri beraberinde getiriyor. Google Chrome'un popüler eklentilerinden biri olan ve 100 binden fazla indirmeye sahip FreeVPN.One, bu risklerin somut bir örneği olarak gündeme oturdu. Koi güvenlik araştırmacılarının ortaya çıkardığı şok edici bulgulara göre, bu ücretsiz VPN eklentisi kullanıcıların izni olmadan ekran görüntüleri alıyor ve konum verilerini topluyor.

Google Chrome Web Mağazası'nda 'öne çıkan' (featured) rozetiyle yer alan FreeVPN.One, bu durumla birlikte 'ücretsiz' olmanın bedelini kullanıcı verileriyle ödetme potansiyelini bir kez daha gözler önüne serdi. Peki, bu iddialar ne anlama geliyor ve dijital güvenliğimiz için ne gibi dersler çıkarılmalı?

Gizli Casusluk İddiaları: Neler Oluyor?

Koi ekibi, FreeVPN.One eklentisinin kodunu derinlemesine incelediğinde endişe verici bir tabloyla karşılaştı. Araştırmacılar, eklentinin kullanıcılar bir web sayfası yükledikten tam 1.1 saniye sonra otomatik olarak ekran görüntüsü aldığını tespit etti. Bu görüntülerle birlikte sayfa URL'si, sekme ID'si ve benzersiz kullanıcı kimliği de geliştiricinin sunucularına gönderiliyordu.

Eklentinin gizlilik politikasında, 'Yapay Zeka Tehdit Tespiti ile Tara' aracı kapsamında belirli sayfaların ekran görüntülerinin yükleyebileceği belirtilse de, Koi ekibinin bulguları bunun ötesine geçiyor. Araştırmacılar, bu araç kullanılmasa bile eklentinin her sayfadan ekran görüntüsü aldığını ve kullanıcıların bu durumdan tamamen habersiz olduğunu iddia ediyor. Hatta işler daha da karmaşıklaşıyor; Koi, VPN'nin son aylarda konum ve cihaz verilerini de ekran görüntüleriyle birlikte kategorize edip kendi sunucularına gönderdiğini belirtiyor. En son sürümle birlikte eklenen AES-256-GCM şifrelemesi ve RSA anahtar sarmalaması (key wrapping), bu veri sızıntısının tespitini daha da zorlaştırıyor.

"Ücretsiz VPN'ler genellikle cazip görünse de, bu tür hizmetlerin genellikle bir bedeli vardır: sizin verileriniz. Eğer bir ürün için para ödemiyorsanız, muhtemelen ürün sizsinizdir." - Sen,Nexus Siber Güvenlik Analisti

Geliştirici İddiaları ve Google'ın Rolü

Koi ekibi, casusluk faaliyetlerinin bu yılın Nisan ayında, eklentinin kullanıcıların ziyaret ettiği her siteye erişim sağlayan bir izin güncellemesiyle başladığına inanıyor. Takip eden aylardaki hızlı güncellemeler, izin erişimini daha da artırmış ve bu durum, geliştiricinin şüphe çekmeden ne kadar ileri gidebileceğini test ettiği şeklinde yorumlanıyor.

Araştırmacılar, eklentinin tek geliştiricisiyle iletişime geçtiğinde, geliştiricinin bulguları başlangıçta reddettiğini belirtiyor. Geliştirici, otomatik ekran görüntüsü yakalamanın bir arka plan tarama özelliğinin parçası olduğunu ve yalnızca bir etki alanı şüpheli görünüyorsa tetikleneceğini iddia etti. Ancak Koi ekibi, Google E-Tablolar ve Google Fotoğraflar gibi güvenilir sitelerde bile ekran görüntülerinin yakalandığını gözlemlediklerini dile getirdi.

Geliştiriciden şirket profili, GitHub hesabı veya LinkedIn sayfası gibi meşruiyet kanıtları istendiğinde ise, geliştiricinin e-postalara yanıt vermeyi kestiği ve geride ücretsiz bir Wix şablon sayfasına karşılık gelen bilinen tek bir e-posta adresi bıraktığı ifade edildi. Bu durum, geliştiricinin şeffaflık konusundaki eksikliğini ve güvenilirliğini sorgulatıyor.

Peki, Dijital Güvenliğimizi Nasıl Koruyabiliriz?

Bu olay, 'ücretsiz' olan her şeyin bir bedeli olabileceği gerçeğini bir kez daha vurguluyor. Dijital dünyada gizliliğinizi korumak için atabileceğiniz bazı adımlar:

• Ücretli ve Güvenilir VPN Tercih Edin: VPN hizmeti kullanacaksanız, itibarı kanıtlanmış, şeffaf gizlilik politikalarına sahip ve bağımsız denetimlerden geçen ücretli hizmetleri tercih edin. Araştırma yapın, kullanıcı yorumlarını okuyun ve şeffaf bir şirket yapısı olan sağlayıcıları seçin.
• Eklenti İzinlerini Kontrol Edin: Bir tarayıcı eklentisi yüklemeden önce, istediği izinleri dikkatlice inceleyin. Bir VPN eklentisinin neden her siteye erişim, ekran görüntüsü alma veya konum verilerinize erişim istediğini sorgulayın.
• Gizlilik Politikalarını Okuyun: Özellikle ücretsiz hizmetlerde, gizlilik politikalarını okumak sıkıcı gelse de, verilerinizin nasıl toplandığını, depolandığını ve kullanıldığını anlamak için kritik öneme sahiptir.
• Tarayıcı ve Eklenti Güncellemelerini Takip Edin: Tarayıcınızı ve eklentilerinizi düzenli olarak güncel tutmak, bilinen güvenlik açıklarının kapatılmasına yardımcı olur.
• Güvenilir Kaynaklardan Bilgi Edinin: Siber güvenlik haberlerini ve uyarılarını takip edin. Sen,Nexus gibi güvenilir teknoloji portalları bu konuda size rehberlik edebilir.

Dijital güvenliğimiz için bireysel önlemler almanın yanı sıra, siber suçluların daha büyük ölçekli ve organize tehditler oluşturmaya devam ettiğini unutmamak gerekir. Son dönemde siber güvenlik dünyası, on binlerce internete bağlı cihazı enfekte ederek milyonlarca saldırı gerçekleştiren RapperBot adlı güçlü bir DDoS botnet'inin ABD Adalet Bakanlığı liderliğindeki küresel bir operasyonla çökertilmesiyle önemli bir zafer kazandı. Amazon Web Services (AWS), Google ve Cloudflare gibi teknoloji devlerinin de desteğiyle yürütülen 'Operation PowerOff' isimli bu operasyon, siber suçlarla mücadelede ulusal ve özel sektör işbirliğinin kritik rolünü bir kez daha gözler önüne serdi. Bu ve benzeri başarılar, siber tehditlere karşı verilen mücadelenin sürekli ve çok boyutlu olduğunu gösterirken, bireysel kullanıcıların da her zaman tetikte olması gerektiğini hatırlatmaktadır. RapperBot'un nasıl çökertildiğine dair detaylı bilgiye buradan ulaşabilirsiniz.

Dijital dünyada gizlilik ve güvenlik tehditleri sadece VPN'lerle sınırlı kalmıyor; yapay zeka sohbet botları gibi yeni nesil dijital hizmetler de benzer riskler taşıyabiliyor. Örneğin, Elon Musk'ın yapay zeka şirketi xAI'ın geliştirdiği Grok sohbet botunun, kullanıcıların yüz binlerce sohbetini herhangi bir uyarı veya açık izin olmaksızın Google, Bing ve DuckDuckGo gibi popüler arama motorlarında indekslediği ortaya çıktı. Bu durum, uyuşturucu üretimi talimatlarından kullanıcı şifrelerine, hatta Elon Musk'a yönelik suikast planına kadar geniş ve endişe verici bir yelpazede hassas bilgilerin kamuya açık hale gelmesine neden oldu. Bu tür olaylar, dijital platformlardaki veri güvenliğinin ve kullanıcı gizliliğinin ne kadar kırılgan olabileceğini bir kez daha gözler önüne seriyor ve bizlere, kullandığımız her dijital hizmetin gizlilik politikalarını ve veri paylaşım mekanizmalarını sorgulama sorumluluğu yüklüyor. xAI Grok sohbetlerinin arama motorlarında ortaya çıkmasıyla ilgili detaylı bilgilere ve gizlilik ihlali iddialarına buradan ulaşabilirsiniz.

Sonuç: Tedbirli Olmak Her Şeyden Önemli

FreeVPN.One örneği, dijital dünyada uyanık olmanın ve ücretsiz hizmetlere körü körüne güvenmemenin ne kadar hayati olduğunu gösteriyor. Eklentinin şu an itibarıyla Google Web Mağazası'nda hala mevcut olması ve öfkeli kullanıcı yorumlarıyla dolu 3.7 yıldızlı bir sayfaya sahip olması, durumun ciddiyetini artırıyor. Google'ın bu duruma hızlıca müdahale etmesi ve 'öne çıkan' rozetinin güvenilirliğini sorgulaması bekleniyor.

Unutmayın, dijital gizliliğiniz ve güvenliğiniz sizin sorumluluğunuzdadır. Her zaman eleştirel bir gözle bakın ve kişisel verilerinizi korumak için gerekli adımları atmaktan çekinmeyin.

Kaynak: Bu haber PC Gamer'da yayınlanan makaleden derlenmiştir.