- Katılım
- 19 Aralık 2023
- Mesajlar
- 169
- Makaleler
- 1
- Çözümler
- 1
- Beğeniler
- 135
Şimdiye kadar edindiğim birçok numara eskiden başka kişilere ait çıktı. Hatta bir seferinde hattın eski sahibi hattını iptal etmesine rağmen o numarayı WhatsApp üzerinden aktif olarak kullanmaya devam ediyordu, bunu hattı belli bir süre kullandıktan sonra fark ettim, çünkü ikincil hat olduğundan hemen WhatsApp'ı kurmamıştım. Çünkü WhatsApp sadece ilk kurulum esnasında hatta erişimi olduğunuz kanıtını istiyor SMS kodu veya arama ile, daha sonra o hattı iptal etseniz ve SIM artık sizde olmasa bile Wi-Fi ile veya başka bir mobil hattın interneti ile kullanmaya devam edebiliyorsunuz. Hatta genelde telefonunuzu değiştirseniz bile sorun çıkmıyor çünkü WhatsApp zaten başka bir telefonda kuruluysa aynı numarayı başka telefona kurmaya çalıştığınızda bu sefer o numaranın ilk kurulumunun aksine SMS/telefon araması yerine diğer cihaza bildirimle kod göndererek de kurdurtabiliyor. (Bu garanti değil, bazen başka telefona kurarken illa yeniden SMS/arama isteyebiliyor ama genelde telefonunuzu değiştirmediğiniz sürece hattı iptal etseniz bile yıllarca kullanabiliyorsunuz.)
Araştırdığımda fark ettim ki bir hattı iptal ettiğinizde sadece 1 sene geçince operatör o numarayı tekrar satışa sunuyor. Evet, sadece 1 sene!
Ve ilginç bir şekilde yeni açılan prefix'lerden numara aldığınızda da eski bir sahibi olabiliyor! Hayatımda hiç Mardin'de bulunmamama rağmen özel olarak hiç kullanılmamış olsun diye Vodafone'un yeni açtığı 547'li prefix'den aldığım 547'li numaraya Mardin'de yaşıyormuşum gibi SMS'ler geliyordu.
Bence bu korkunç bir güvenlik açığı! Eğer 2003'de yaşıyor olsaydık belki o kadar dert değildi çünkü en fazla hattın eski sahibine yönelik yanlış aramalarla uğraşırdınız. Ama şimdi birçok uygulama/web sitesi telefon numaranızı alıyor ve numaranızı doğrulama yöntemi olarak kullanıyor. Telefon numarası en yaygın identifierlardan biri. Sadece telefon numaranızı doğrulayarak o hesapları kurtarabiliyorsunuz. Örneğin Facebook hesabınıza telefon tanımlıysa sadece telefon numarasını yazıp o telefona gelen güvenlik kodunu girerek telefonun bağlı olduğu hesabın şifresini sıfırlayabiliyorsunuz.
Evet bu risk numara değiştireceğiniz zaman tüm platformlardan silerseniz o numarayı hafifletilebilir ama bu da sandığınız kadar kolay değil çünkü telefonu o kadar çok yere veriyoruz ki ben biri ömrüm boyunca telefonu verdiğim tüm uygulama ve siteleri hatırla dese muhtemelen bunu yapamam. Mutlaka unuttuğum bir yer kalır.
Ayrıca bazen yeni bir numara aldığınızda bu numaranızı bazı platformlara kaydetmeye çalıştığınızda "bu numaraya kayıtlı hesap zaten var" hatası alabiliyorsunuz çünkü eski sahibi o numarayı kullanırken kaydetmiş ve hattı iptal etmesine rağmen silmemiş olabiliyor.
Yani hem hattın eski sahibi hem yeni sahibi mağdur edilebiliyor.
Bu yüzden bence en iyi çözüm bir numara iptal edildi mi aynı numara bir daha kimseye satılmamalı, o numara sahibiyle beraber ölmelidir. Bunun bedeli telefon numaralarının daha uzun olması gerekse bile.
Eğer bu mümkün değilse, en azından;
Ayrıca kullanıcılar;
Araştırdığımda fark ettim ki bir hattı iptal ettiğinizde sadece 1 sene geçince operatör o numarayı tekrar satışa sunuyor. Evet, sadece 1 sene!
Ve ilginç bir şekilde yeni açılan prefix'lerden numara aldığınızda da eski bir sahibi olabiliyor! Hayatımda hiç Mardin'de bulunmamama rağmen özel olarak hiç kullanılmamış olsun diye Vodafone'un yeni açtığı 547'li prefix'den aldığım 547'li numaraya Mardin'de yaşıyormuşum gibi SMS'ler geliyordu.
Bence bu korkunç bir güvenlik açığı! Eğer 2003'de yaşıyor olsaydık belki o kadar dert değildi çünkü en fazla hattın eski sahibine yönelik yanlış aramalarla uğraşırdınız. Ama şimdi birçok uygulama/web sitesi telefon numaranızı alıyor ve numaranızı doğrulama yöntemi olarak kullanıyor. Telefon numarası en yaygın identifierlardan biri. Sadece telefon numaranızı doğrulayarak o hesapları kurtarabiliyorsunuz. Örneğin Facebook hesabınıza telefon tanımlıysa sadece telefon numarasını yazıp o telefona gelen güvenlik kodunu girerek telefonun bağlı olduğu hesabın şifresini sıfırlayabiliyorsunuz.
Evet bu risk numara değiştireceğiniz zaman tüm platformlardan silerseniz o numarayı hafifletilebilir ama bu da sandığınız kadar kolay değil çünkü telefonu o kadar çok yere veriyoruz ki ben biri ömrüm boyunca telefonu verdiğim tüm uygulama ve siteleri hatırla dese muhtemelen bunu yapamam. Mutlaka unuttuğum bir yer kalır.
Ayrıca bazen yeni bir numara aldığınızda bu numaranızı bazı platformlara kaydetmeye çalıştığınızda "bu numaraya kayıtlı hesap zaten var" hatası alabiliyorsunuz çünkü eski sahibi o numarayı kullanırken kaydetmiş ve hattı iptal etmesine rağmen silmemiş olabiliyor.
Yani hem hattın eski sahibi hem yeni sahibi mağdur edilebiliyor.
Bu yüzden bence en iyi çözüm bir numara iptal edildi mi aynı numara bir daha kimseye satılmamalı, o numara sahibiyle beraber ölmelidir. Bunun bedeli telefon numaralarının daha uzun olması gerekse bile.
Eğer bu mümkün değilse, en azından;
- Bir numara iptal edildi mi tekrar satılabilmesi için 1 sene değil en az 5-10 senelik bir sürenin geçmesi zorunlu tutulmalıdır.
- En azından Türk şirketlerini kapsayacak bir altyapı kurulmalı, bir numara iptal edildiğinde sistem üzerinden bu bilgi bu şirketlerin tamamına otomatik iletilmeli, eğer bu numara sistemlerinde kayıtlıysa o numaranın otomatik silinmesi sağlanmalıdır. Evet internette ve mobil uygulamalarda numaramızı verdiğimiz altyapılardan çoğu yabancı olduğundan bu genel bir çözüm değil ama sorunu hafifletebilir.
- Hem yerli hem yabancı platformlar asla hesap kurtarma için sadece telefon numarasını girip ona gelecek kodu doğru yazmanın yetmesine izin vermemelidirler, güvenlik mimarisini tasarlarken numaranın başkasına satılmış olabileceği ihtimalini göz önünde bulundurmalıdırlar. Örneğin her zaman sırf telefona gelecek kod yerine ek olarak hesabın kayıtlı olduğu e-posta adresine gelecek kodu da girmeyi zorunlu tutabilirler veya telefon numarası girip gelen kodu aldıktan sonra hesabın şifresinin sıfırlanması için mutlaka hesapla ilgili yalnızca sahibinin bilebileceği ek bir güvenlik sorusu sormalıdır şifre sıfırlamaya izin vermeden önce.
- Hem yerli ve yabancı platformlar sistemlerini numaraların tekrar satılabildiği ihtimalini göz önünde bulundurarak tasarlamalıdır. Örneğin bir numara zaten başka bir hesaba kayıtlıysa ama o numarayla yeni hesap yaratma girişimi olursa "bu numara zaten kayıtlı" diye hata vermek yerine numarayla yeni hesap açılmasına izin vermeli, bunu da hattın sahibinin değişmiş olabileceği sinyali olarak algılayarak otomatik olarak eski hesaptan o numaranın ilişkisini kesmelidirler. Bu hem sırf hattın geçmişi yüzünden yeni sahibin tıkanmasını engelleyecek, hem de eski sahibinin güvenliğine katkı sağlayacaktır.
- Operatörlere eğer sattıkları numaranın daha önce başka sahibi olmuşsa bu konuda bilgi verme zorunluluğu getirilmelidir.
- Operatörlerin sattıkları numaralar eğer önceki sahibinin çok izi olduğu ve bu yüzden kullanmasının zor olduğu ortaya çıkarsa operatörün bu sorunu çözmek için çaba harcaması yükümlülüğü getirilmelidir. Bu örneğin numarayı hiçbir ücret almadan değiştirmek zorunluluğu olabilir. Şu an operatörler sırf aldığınız hat eski sahibinin izleri yüzünden kullanması imkansız olduğu için numara değiştirmek isteseniz sizin suçunuz olmadığı halde sizden numara değiştirme ücreti istiyorlar.
Ayrıca kullanıcılar;
- Numaralarını çok mecbur kalmadıkça bu riskten dolayı değiştirmemelidirler.
- Eğer çok değiştirmek zorunda kalırlarsa, eski hatlarını hemen iptal etmeyerek günler, haftalar ve belki aylar harcayarak mümkün olduğunca tüm platformlardan bu numaranın ilişkisini kestiklerine emin olmalıdırlar. Çünkü genelde eski hattı iptal etmek bazı platformlarda numara değiştirme sürecini zorlaştırabiliyor ve hatta bazı hesaplara hiç girememenize sebep olabiliyor. Öncelikle tüm aktif kullandığınız hesaplarınızı kontrol edebilirsiniz. Daha sonra örneğin mailinizde o numarayı arayarak daha önce verdiğiniz ama şu an kullanmadığınız için unuttuğunuz hesapları bulmaya çalışabilirsiniz. Ayrıca İleti Yönetim Sisteminde o numaraya mesaj gönderme izni olan platformları kontrol etmeniz de yardımcı olabilir.
- Başka bir alternatif mümkün olduğunda platformlara üye olurken telefonunuzu vermeyin. Örneğin kayıt hem e-postayla hem de telefonla mümkünse e-postanızı verebilirsiniz. İki aşamalı doğrulamayı mutlaka açın ama iki aşamalı doğrulama için mobil hattan bağımsız alternatifler sunuluyorsa (örneğin Google Authenticator gibi doğrulayıcı uygulamalar) onları kullanın.
Son düzenleme:
