ABD’ye gelip çalışmayı ümit eden teknoloji profesyonelleri Pazartesi gününden itibaren yeni bir gizlilik endişesiyle karşı karşıya. 15 Aralık’tan itibaren H-1B vizesine sahip vasıflı işçiler ve aileleri, konsolosluk görüşmelerinden önce sosyal medya profillerini kamuya açmak zorunda kalacak. Güvenlik ve gizlilik açısından son derece riskli bir hareket.
ABD Dışişleri Bakanlığı’ndan gelen bir yazıya göre göçmenlik görevlileri, yeni gelenleri ulusal güvenliğe tehdit oluşturup oluşturmadıklarını tespit etmek için mevcut tüm bilgileri kullanıyor. Buna “çevrimiçi varlık incelemesi” de dahildir. Bu inceleme artık sadece H-1B başvuru sahiplerinin değil, aynı zamanda H-4 başvuru sahiplerinin (kendileriyle birlikte ABD’ye taşınmak isteyen bakmakla yükümlü oldukları kişilerin) “tüm sosyal medya profillerindeki gizlilik ayarlarını ‘herkese açık’ olarak ayarlamalarını” gerektiriyor.
CBS tarafından elde edilen Dışişleri Bakanlığı iç yazışmasında daha keskin bir dil vardı: Memurlara “Amerika Birleşik Devletleri’nin vatandaşlarına, kültürüne, hükümetine, kurumlarına veya kurucu ilkelerine yönelik her türlü düşmanlık belirtisini” taramaları talimatını veriyordu. Bunun ne anlama geldiği belli değil, ancak arkadaşlarınız güçlü siyasi görüşler paylaşmayı seviyorsa endişelenmelisiniz.
Bu, hükümetin insanları özel dijital hayatlarındaki perdeyi kaldırmaya zorladığı ilk sefer değil. Devlet, öğrenci vizesi başvuru sahiplerini bu yılın haziran ayında sosyal medya profillerini halka açık hale getirmeye zorladı.
Bu birçok insan için büyük bir olay. H-1B programı, şirketlerin özel işlerde yabancı işçileri geçici olarak işe almasına olanak tanıyor. Pew Araştırma Merkezi’ne göre, ABD geçen yıl H-1B programı kapsamında yaklaşık 400.000 vize işleme koydu; bunların çoğu istihdamı yenilemek için yapılan başvurulardı. Bu işçilerin bakmakla yükümlü olduğu kişileri de hesaba kattığınızda bir milyonun üzerinde insandan bahsediyoruz. Bu karar onları, yalnızca kendilerini değil ABD’yi de tehdit eden uzun vadeli dijital teşhire zorluyor.
Neden halkın zorla maruz kalması bir güvenlik felaketidir?
Bu H1B çalışanlarının çoğu savunma yüklenicileri, çip üreticileri, yapay zeka laboratuvarları ve büyük teknoloji şirketleri için çalışıyor. Bunlar dış güçlerin (özellikle ABD’ye düşman olanların) çok önemsediği, H-1B çalışanlarını öncelikli hedef haline getiren örgütler.
H-1B sahiplerinin gerçek adlarını, yüzlerini ve günlük rutinlerini halka açık hale getirmek bir tür dijital kişisel bilgi toplamadır. Politika, güvenli olan çok daha fazla kişisel bilgiyi açığa çıkarıyor ve önemli yeni riskler yaratıyor.
Bu bilgi, bu aktörlere, çip tasarımları ve hassas yazılımlar üzerinde kimlerin çalışabileceğine dair güncel bilgiler içeren ücretsiz bir organizasyon şeması sağlar.
Aynı kişilere, o grafikteki kişileri hedeflemek için ihtiyaç duydukları her şeyi de verir. H-1B sahipleri ve bakmakla yükümlü oldukları kişiler hakkında, arkadaşları ve aileleri, ilgi alanları, düzenli konumları ve hatta ne tür teknoloji kullandıkları hakkında bilgiler dahil olmak üzere bilgilere sahipler. SIM değiştirme ve değiştirme gibi risklere daha fazla maruz kalıyorlar.
Bu kamuya açık bilgiler aynı zamanda çalışanları kurumsal saldırı vektörlerine de dönüştürüyor. Saldırganlar, kuruluşlara pahalıya mal olan hedef odaklı kimlik avı ve iş e-postası güvenliği ihlal tekniklerini geliştirmek için kişisel ve profesyonel verileri kullanabilir. Herkese açık sosyal medya içeriği, dolandırıcılığa yönelik eğitim verileri haline geliyor ve tehdit aktörlerinin şirket çalışanlarının gerçekçi taklitlerini oluşturmak için kullanabileceği ses ve video hizmeti sunuyor.
Sosyal medya profilleri aynı zamanda düşmanlara insanlara yaklaşmak için ideal bir yol sunuyor. İşe alım için varlıkları hedeflemek amacıyla sosyal medyayı kullanma gibi kötü bir alışkanlıkları var. MI5’in başkanı iki yıl önce Çinli devlet aktörlerinin endüstriyel veya teknolojik sırları çalmak için LinkedIn aracılığıyla tahmini 20.000 Britanyalıya yaklaştığı konusunda uyarmıştı.
Hedeflerini neyin harekete geçirdiğine dair derin ve samimi bir anlayışa sahip olan saldırganların, onları seçme şansı çok daha yüksektir. Bir kişinin kumar sorunu ya da hasta bir akrabası nedeniyle paraya ihtiyacı olabilir. Bir diğeri yalnız olabilir ve aşk dolandırıcılığı için mükemmel bir hedef olabilir.
Peki ya temel şantaj? Eşcinselliğin suç sayıldığı ülkelerdeki LGBTQ+ bireyler, geri döndüklerinde kendilerine zarar verebilecek rejimlerle karşı karşıya kalma riskiyle karşı karşıya kalıyor. Düşman ülkelerdeki aile pazarlık kozuna dönüşüyor. Bazı bölgelerde, yüksek değere sahip çalışanların aileleri, bu bilgilerin erişilebilir hale gelmesi durumunda daha fazla riskle karşı karşıya kalabilir. Yabancı ulus devletler sıkıntılı noktalardan faydalanma konusunda oldukça başarılılar. Bu politika, onları uzaklarda aramalarına gerek kalmayacağı anlamına geliyor.
Vize başvuruları, yetkililer tarafından değerlendirildikten sonra bir hesabın tekrar gizli hale getirilebileceğini varsayabilir. Ancak ABD’ye düşman devletler aktif olarak bu tür bilgileri arıyor. Kamuya açık sosyal medya hesaplarını tırmalayan geniş çevrimiçi gözetim operasyonları var. H-1B vizesi statüsüne sahip birinin ABD’ye geldiğini fark ettikleri anda, daha önce topladıkları hesap verilerini kazmaya hazır olacaklar.
Peki H-1B adayı ne yapmalıdır? Hesapları silmek kötü bir fikir çünkü ani bir ortadan kaybolma şüpheyi tetikleyebilir ve memurlar adli tıp izlerini tespit edebilir. Daha güvenli bir yaklaşım, yeni gönderileri duraklatmak ve profilleri herkese açık hale getirmeden önce eski içeriği dikkatlice incelemektir. Kişisel rutinleri, yerleri veya hassas görüşleri açığa vuran gönderileri kaldırmak veya gizlemek, hesaplar ifşa edildikten sonra bağlamdan çıkarılabilecek veya hedefleme için kullanılabilecek öğeleri azaltır.
İroni şu ki, casuslar muhtemelen yıllardır dikkat çekmeyen sahte sosyal medya hesaplarını kullanıyor. Bu, meşru H-1B başvuru sahipleri savunmasız hale gelirken karanlıkta çalışmaya devam edecekleri anlamına geliyor. Dolayısıyla bu politika, önlemeyi amaçladığı riskleri istemeden de yaratabilir. Ve aynı zamanda hükümet etkileşiminin bir koşulu olarak zorunlu kamu teşhirini normalleştirir.
Bir yol ayrımındayız. Günümüzde vize başvuru sahipleri, aileleri ve işverenleri risk altındadır. Gelecekte bu yaklaşımı genişletmek için altyapı mevcuttur. Ya da yetkililer bu riskler daha da derinleşmeden önce durup yeniden düşünebilirler.
Yalnızca tehditleri bildirmiyoruz; sosyal medyanızı korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Kimlik Hırsızlığı Korumasını kullanarak sosyal medya hesaplarınızı koruyun.