Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Grup, Reddit Liderliği ve Gönüllüler Arasındaki Tartışmaya Kendini Dahil Etmeye Çalışıyor
Mathew J. Schwartz (euroinfosec) •
19 Haziran 2023
Fidye yazılımı kullanan gaspçılar, fidye ödemeye teşvik etme veya en azından suçluların kötü şöhretini artırma umuduyla, ödeme yapmayan kurbanları zaten kötü durumdayken tekmelemeye bayılırlar.
Ayrıca bakınız: Kesin E-posta Siber Güvenlik Stratejisi Rehberi
En son hedef, siteyi içerikle dolu tutmak ve kodunu iyileştirmek için gönüllü olan birçok moderatör ve geliştiriciyle şiddetli bir açmaz içinde olan, kendi kendini “internetin ön sayfası” ilan eden Reddit. Anlaşmazlık, CEO Steve Huffman ve diğer üst düzey yöneticilerin, sosyal haber toplama, içerik derecelendirme ve tartışma sitesi ilk halka arz yolculuğunda karlı olmaya çalışırken, şirketin API’sine erişim için bazı üçüncü tarafları ücretlendirmeye başlama kararına odaklanıyor.
Cumartesi günü veri sızıntısı sitesi aracılığıyla 5 Şubat’ta özel Reddit’ten 80 gigabayt veri çaldığını iddia eden BlackCat fidye yazılımı grubuna girin. Conti’den ayrılan Rusça konuşan grup, karşılığında 4,5 milyon dolar talep ediyor. Verilerin silinmesi ve sessiz kalmamız için.” Suçlular fidye taleplerini 13 Nisan’da ve yine Cuma günü Reddit’e ilettiklerini iddia ettiler.
Fidye yazılımı uzmanları, suçluların böyle bir vaadi yerine getirdiğine dair hiçbir kanıt olmadığını söyleyerek kurbanları, çalınan verileri silme vaatleri gibi somut olmayan herhangi bir şey için asla fidye ödememeye çağırdı.
100.000’den fazla aktif topluluğuna aylık 500 milyondan fazla ziyaretçi bildiren Reddit’in ödeme yapmaya niyeti yok gibi görünüyor. BlackCat, “Reddit’in verileri için herhangi bir para ödemeyeceğinden eminiz.” Dedi. “Ama halkın, kullanıcıları hakkında takip ettikleri tüm istatistikleri ve aldığımız tüm ilginç gizli verileri okuyabileceğini bilmek beni çok mutlu ediyor. Kullanıcıları da sessizce sansürlediklerini biliyor muydunuz? GitHub’larından eserlerle birlikte! “
Reddit, BlackCat’in hak iddia ettiği Şubat saldırısını ifşa etti ve o sırada bir kimlik avı mesajlarının çalışanlarından birinin kimlik bilgilerini benzer bir siteye girmesi için kandırdığını söyledi. Sonuç olarak Reddit, “saldırgan bazı dahili belgelere, koda ve ayrıca bazı dahili panolara ve iş sistemlerine erişim elde etti” dedi.
API Öfke Gönüllülerini Değiştiriyor
Fidye yazılımı grubu Cumartesi günü talebini güncelledi ve Reddit fidye ödemediği ve yakında yürürlüğe girecek olan fiyatlandırma değişikliklerini geri almadığı takdirde çalınan verileri yayınlamakla tehdit etti.
BlackCat, kendisini Reddit ile kilit gönüllülerinin çoğu arasında patlak veren bir tartışmaya dahil etmeye çalışıyor. Nisan ayında Reddit, “adil kullanım” erişiminin ücretsiz kalacağını ancak “ek yetenekler, daha yüksek kullanım limitleri ve daha geniş kullanım hakları gerektiren üçüncü taraflar için premium erişimi kullanıma sunduğumuzu” duyurdu. 1 Temmuz’da yürürlüğe girecek olan değişiklikler, üçüncü tarafların Reddit ile çalışan uygulamaların %90’ı için geçerli olduğunu söylediği bir OAuth istemci kimliğiyle dakikada 100 sorgu veya istemci kimliği olmadan dakikada 10 sorgu yapmasına izin verecek. Aksi takdirde Reddit, 1.000 API çağrısı başına 0,24 ABD doları ücret alacaktır.
Şirket yetkilileri, kısmen teknoloji devlerinin yapay zeka ürünleri geliştirmek için kullandıkları büyük dil modellerini eğitmek için Reddit’i kullanmaları nedeniyle hareketin gerekli olduğunu söyledi. 1 Temmuz’da yürürlüğe girmesi planlanan yeni şartlar ve koşullar, Reddit verilerinin “geçerli kullanıcı içeriğinde hak sahiplerinin açık izni olmadan bir makine öğrenimi veya yapay zeka modeli eğitmek için” kullanılmasına yönelik bir yasağı da içeriyor.
Reddit için çok sayıda gönüllü moderatör ve geliştirici, değişiklikleri yıllarca artan gerilimden sonra çok ileri bir adım olarak nitelendirerek kınadı. Birçoğu, değişikliklerin tamamı gönüllü moderatörlerin işlerini yapmak için ihtiyaç duyduğu binlerce uygulamadan bazılarını olumsuz yönde etkileyeceğini söyledi ve Reddit’in kârı ihtiyaçlarına göre önceliklendirdiğini iddia etti.
“Spez” olarak da bilinen Huffman, 9 Haziran tarihli “Bana Her Şeyi Sor” ve gönderisinde değişiklikleri savundu. “Reddit’in kendi kendine yeten bir iş olması gerekiyor ve bunu yapmak için artık büyük ölçekli veri kullanımı gerektiren ticari kuruluşlara sübvansiyon sağlayamayız” dedi.
Huffman, erişilebilirlik araçlarının yanı sıra Reddit’teki tüm denetleme etkinliğinin yaklaşık %3’ünü oluşturduğunu söylediği RES, ContextMod ve Toolbox gibi moderatörler tarafından kullanılan bazı araçlar için muafiyetlerin uygulanacağına söz verdi.
Pek çok gönüllü, önerilen değişikliklerin adil olmadığını söyledi. Protesto olarak, geçen hafta çok sayıda moderatör, binlerce Reddit sayfasını geçici olarak kararttı ve kullanıcılar bu sayfalara erişmeye çalıştığında “kısıtlı” veya “özel” hata mesajları verdi. Huffman, şirketin fiyatlandırma değişiklikleri konusunda pazarlık yapmayacağını ve şirketin karartılmış forumları eski haline getirmeyi ve top oynamayan moderatörleri değiştirmeyi araştırıyor gibi göründüğünü söyledi.
Açıkçası, Reddit’in liderliği, web sitesinin birçok gönüllüsünü uzaklaştırmadan kâr elde etmenin bir yolunu bulmaya çalışıyor. Bu tür hamleler elbette risk taşır. Twitter şimdi, tartışmalı CEO’su Elon Musk’ın ödediği 44 milyar doların üçte biri değerinde.
BlackCat’in fidye yazılımı saldırısı ve veri sızıntısı tehdidi, Reddit’te hararetli tartışmanın parametrelerini değiştirmiyor. Suçluların tartışmayı kendi amaçlarına çevirme girişimlerinin gerçek bir etkisi olmayacak gibi görünüyor. Reddit ve kullanıcılarının, şirket halka arzını sürdürürken daha büyük balıkları var.