İnternet Seni Ne Kadar Tanıyor?

Giriş

Siber güvenlikle uğraşmaya başladığımda ilk merak ettiğim şey, internette kendim hakkında ne kadar bilgi olduğuydu. Araştırmaya başladım ve çıkan sonuçlar beni gerçekten şaşırttı; bir saldırganın yarım saatte hakkımda öğrenebileceği o kadar çok şey vardı ki, çoğunu hiç fark etmemiştim bile.

Bu yazıda, herkesin ücretsiz kullanabileceği OSINT (açık kaynak istihbaratı / Open Source Intelligence) araçlarıyla kendinizi nasıl kontrol edeceğinizi ve geride mümkün olduğunca az dijital ayak izi bırakmak için neler yapabileceğinizi anlatacağım.

1. Sızmış Parolaları ve E-postaları Bul

Gelin işe en baştan başlayalım: e-posta adresin ve parolaların daha önce bir veri ihlalinde (data breach) sızmış mı?

Have I Been Pwned (HIBP)

haveibeenpwned.com bu işin en bilinen aracı. E-posta adresini girersin, hangi ihlallerde göründüğünü listeler.

• E-posta kontrolü: Ana sayfaya e-postanı yaz, “pwned?” butonuna bas. Çıkan her ihlal, o servisten hangi verilerinin (parola, telefon, adres vb.) sızdığını söyler.

• Parola kontrolü: “Passwords” sekmesinde bir parolanın sızıp sızmadığını test edebilirsin. HIBP burada k-anonimlik (k-anonymity) yöntemi kullanır: parolanı değil, SHA-1 özetinin yalnızca ilk 5 karakterini sunucuya gönderir. Yani gerçek parolan asla siteye ulaşmaz.

• Bildirim kur: “Notify me” ile e-postanı kaydedip gelecekte yeni bir ihlalde görünürsen e-posta alabilirsin.

Kendi e-postamı arattığımda tek bir ihlalde çıktım: 2018 Dubsmash sızıntısı. Yıllar önce açıp tamamen unuttuğum bir hesaptı. Mesele de bu zaten, önemsiz sandığın hatta adını bile hatırlamadığın bir hesap bile e-postanı, kullanıcı adını ve parolanı yıllarca bir veritabanında taşıyabiliyor.

Eğer bir parolan sızmış görünüyorsa, o parolayı kullandığın her yerde hemen değiştir ve bir daha asla kullanma. Aynı parolayı birden çok sitede kullanıyorsan, ihlal olan tek bir site bile diğer tüm hesaplarını riske atar. Bu yüzden bir parola yöneticisi (password manager) kullanmak ve mümkün olan her yerde iki adımlı doğrulamayı (2FA) açmak en etkili önlemdir.

Benzer servisler de var: LeakCheck, Leak Lookup, BreachDirectory ve tamamen ücretsiz olan Mozilla Monitor bunlardan birkaçı. Çoğu aynı mantıkla çalışır; başlangıç için HIBP veya Mozilla Monitor fazlasıyla yeterli.

Epieos — E-postanla bağlantılı hesapları bul

HIBP sana “bu e-posta sızdı mı?” diyor. Epieos ise bir adım öteye geçip “bu e-postayla hangi hesaplar açılmış?” sorusunu cevaplıyor.

epieos.com‘a gir, e-postanı yaz, Google hesabın, Skype, GitHub, Duolingo, Strava, Trello ve 140’tan fazla platformdaki varlığını tek seferde tarıyor. Ücretsiz sürümde Google ve Skype sonuçları geliyor ama bu bile “bu e-postayla Google hesabı var mı, profil fotoğrafı ne?” sorularını cevaplayabiliyor. Yani başkası da senin e-postanla bu soruları sorabiliyor, bunu bir düşün bence.

2. Kullanıcı Adını Her Yerde Ara

Çoğumuz aynı kullanıcı adını neredeyse tüm platformlarda kullanırız. Bu, bir saldırganı çok mutlu eder: tek bir takma adı bilen biri, dağınık hesaplarını tek bir kişide birleştirebilir.

WhatsMyName (tarayıcıdan, en kolayı)

Hiçbir kurulum istemeyen en pratik yol:

whatsmyname.app. Siteye girip kullanıcı adını yaz, o takma adın hangi platformlarda kayıtlı olduğunu listeler. Birkaç saniyede unuttuğun eski hesaplarını bile görebilirsin.

Sherlock (terminalden, daha güçlü)

Biraz daha teknik ama daha kapsamlı bir seçenek istiyorsan, Sherlock açık kaynaklı bir Python aracı; bir kullanıcı adını 400’den fazla sitede arar.

# Kurulum
pipx install sherlock-project

# pipx yoksa pip ile de kurabilirsin
pip install sherlock-project

# Kullanım
sherlock kullanici_adin

Çıktı, kullanıcı adının bulunduğu platformların bağlantılarını verir. Sonuçları bir dosyaya kaydetmek istersen --output sonuc.txt ekleyebilirsin. Kendi takma adını çalıştır, unuttuğun ve hâlâ açık duran hesaplarını gör, kullanmadıklarını kapat.

Bu arada, Sherlock hiçbir hesabı “hacklemez”, parola da görmez. Sadece o kullanıcı adına ait herkese açık profillerin var olup olmadığını kontrol eder.

3. Google’ı Bir Saldırgan Gibi Kullan (Google Dorking)

Google’ın gelişmiş arama operatörleri, sıradan aramalarda görünmeyen sayfaları ortaya çıkarır. Bu tekniğe Google dorking denir. Mantığı basit: Google’a “şu siteyle sınırla”, “tam olarak bu ifadeyi ara” ya da “yalnızca şu dosya türünü getir” gibi hassas komutlar verirsin, o da sıradan aramada saklı kalan sonuçları gösterir.

Nasıl kullanılır?

Yapman gereken basit; google.com‘u aç ve arama çubuğuna aşağıdaki kalıpları —köşeli parantezleri kendi bilginle değiştirerek— yaz. Başka bir araç, kurulum veya hesap gerekmiyor.

En çok işine yarayacak operatörler:

• "tırnak içi" — tam eşleşme arar, ifadeyi olduğu gibi içeren sayfaları getirir.

• site: — aramayı tek bir siteyle sınırlar.

• filetype: — yalnızca belirli bir dosya türünü (pdf, docx, xlsx) getirir.

Kendi adın ve verilerinle dene, her satırı ayrı ayrı Google’a yaz:

"Ad Soyad" site:linkedin.com
"[email protected]"
"05XX XXX XX XX"                    # telefon numaran
filetype:pdf "Ad Soyad"            # adının geçtiği PDF'ler
site:github.com "[email protected]"

filetype: operatörü özellikle dikkat çekici: internette unuttuğun, adının geçtiği bir CV’ni, başvuru formunu ya da eski bir belgeni bulabilirsin. Çoğumuz, yıllar önce bir yere yüklediğimiz özgeçmişlerimizin hâlâ Google’da aranabilir olduğunun farkında değiliz; oysa o belgede telefon numaran, adresin, hatta kimlik bilgin bile olabilir.

Bulduğun ve artık görünmesini istemediğin içerikler için önce ilgili sitenin kaldırma (takedown) prosedürünü işletebilirsin; sayfa kaldırıldıktan sonra hâlâ arama sonuçlarında görünüyorsa, Google’ın içerik kaldırma talebi formunu kullanabilirsin.

4. Fotoğraflarındaki Gizli Bilgi: Metadata

Çektiğimiz fotoğraflar aslında göründüğünden fazlasını söyler. Birçok dosya, fotoğrafların alt bilgisindeki EXIF metadata içinde çekim tarihini, cihaz modelini ve bazen GPS konumunu taşır. EXIF metadata, fotoğraf çekildiği anda cihaz tarafından otomatik olarak dosyanın içine eklenen; çekim tarihi, kamera modeli, ayarlar ve bazen GPS konumu gibi teknik bilgileri içeren gizli veri alanıdır. Sosyal medyaya yüklediğin bir fotoğraf evinin koordinatlarını sızdırıyor olabilir, kontrol etmekte fayda var.

Metadata’yı görüntüle

Herhangi bir kurulum gerekmez. Telefonundan bilgisayarına aktardığın bir fotoğrafı şu sitelerden birine sürükle:

• exifviewer.com — fotoğrafın içindeki tüm gizli veriyi listeler. GPS koordinatı varsa orada görünür.

• metadata2go.com — fotoğraf dışında video, PDF ve ses dosyalarını da destekler.

İkisi de dosyayı sunucuya yüklemiyor; tüm işlem tarayıcında gerçekleşiyor.

Metadata’yı temizle

GPS verisi çıktıysa ve o fotoğrafı paylaşacaksan, paylaşmadan önce temizle:

• exifremover.com — fotoğrafı yükle, bir tıkla tüm metadata’yı sil, temizlenmiş dosyayı indir.

PimEyes — Yüzün internette nerede görünüyor?

Metadata’yı temizledin ama fotoğrafın hâlâ internette dolaşıyor olabilir. pimeyes.com yüz tanıma teknolojisiyle fotoğrafını internette arayan bir araç. Kendi fotoğrafını yükleyerek nerede göründüğünü görebilirsin. Ücretsiz sürümde sınırlı sonuç veriyor ama “eşleşme bulundu” mesajı bile fotoğrafının nerede kullanıldığını anlamanı sağlıyor.

Büyük platformların (Instagram, X/Twitter) çoğu yükleme sırasında bu veriyi otomatik siler ama hepsi silmez. Mesela WhatsApp, e-posta ve doğrudan dosya paylaşımları metadata’ya dokunmaz. En iyisi biz dosya paylaşmadan önce kendimiz temizleyelim ve güvenceye alalım.

5. Sosyal Medya ve Halka Açık Profiller

Burada bir araç kullanmayacağız. Yapman gereken tek şey kendi profillerine bir ziyaretçi gözüyle —yani hesabına giriş yapmadan— bakmak. Bir saldırgan seni ilk aradığında gördüğü şey tam olarak bu.

Instagram

Profilin gizliyse sorun yok. Ama açıksa: story arşivlerin, konum etiketlerin ve eski gönderilerindeki arka plan ayrıntıları (sokak tabelası, bina cephesi, plaka) düşündüğünden çok şey ele verebilir. Ev adresini hiç paylaşmamış olsan evinin penceresinden çektiğin fotoğraflar nerede olduğunu açık eder.

LinkedIn

Burada asıl tehlike aşırı ayrıntı. Çalıştığın şirket, pozisyon, projeler, hatta kullandığın teknolojiler bunların hepsi seni hedef alan özel bir kimlik avı (spear phishing) saldırısı için hammadde. “Şirketinizin IT sistemleri hakkında…” diye başlayan sahte bir e-posta, LinkedIn’deki bilgilerin olmadan bu kadar inandırıcı olamazdı.

Twitter/X

Yıllar içinde attığın tweetler bir araya geldiğinde şaşırtıcı bir profil çıkar: siyasi görüşlerin, rutinin, arkadaşların, zaman zaman bulunduğun yerler. Eski tweetleri silmek isteyenler için Semiphemeral gibi araçlar var. Bir de konum etiketiyle atılan tweetlere dikkat et, çoğu kişi bunu fark etmeden açık bırakıyor.

Facebook

Burada en büyük risk doğum tarihi, memleket, aile üyeleri ve eski okul/iş bilgilerinin hepsinin bir arada olması. Bu kombinasyon kimlik doğrulama sorularının neredeyse tamamını yanıtlar. Profil “sadece arkadaşlar” görünürlüğündeyse bile hangi bilgilerin “herkese açık” kaldığını ayarlardan tek tek kontrol et.

6. IP Adresin Sızıyor mu?

İnternete her bağlandığında bir IP adresi kullanırsın ve bu adres seni düşündüğünden çok ele verir: kabaca hangi şehirde olduğun, internet servis sağlayıcın (ISS) ve bazen daha fazlası. “Ben VPN kullanıyorum, sorun yok” diyorsan hiç öyle düşüncelere girmeden uyarayım, VPN açık olsa bile bazen gerçek IP sızabiliyor. Buna WebRTC sızıntısı denir ve çoğu kişi bundan habersiz.

Kontrol et

Hiçbir kurulum gerekmez, sadece şu siteleri aç:

• ipleak.net — sayfayı açman yeterli; IP adresin, tahmini konumun ve DNS sorgularının nereye gittiğini anında gösterir.

• browserleaks.com — biraz daha ayrıntılı; tarayıcının sızdırdığı her türlü bilgiyi listeler.

VPN kullanıyorsan

VPN açıkken bu sitelere gir. Gördüğün IP adresi VPN sunucusununki olmalı, seninki değil. Hâlâ kendi IP’ni görüyorsan VPN’in WebRTC sızıntısına karşı koruma sağlamıyor demektir. Tarayıcı ayarlarından WebRTC’yi devre dışı bırak ya da WebRTC koruması olan bir VPN’e geçmeyi düşün.

7. Veri Simsarları Seni Nasıl Satıyor?

Adını, telefon numaran, adresin, hatta tahmini gelirine kadar pek çok bilgini toplayan ve satan şirketler var. Bunlara veri simsarı (data broker) denir. Spokeo, Whitepages gibi siteler herkese açık kaynaklardan (seçmen listeleri, telefon rehberleri, sosyal medya) veri toplar ve bu profilleri hem bireylere hem şirketlere satar. Ruhun bile duymadan.

“Ben Türkiye’deyim, bu siteler beni bulmaz” diye düşünebilirsin. Ben de öyle düşünüyordum. Ama e-postamı Spokeo’ya yazdığımda 120’den fazla ağda tarandığını ve sosyal medya, adres, aile bilgileri gibi kategorilerde eşleşme bulunduğunu gördüm. Bu siteler ABD merkezli ama sosyal medya hesabın varsa seni de kapsıyor.

Kendini ara

• spokeo.com — e-posta veya isimle ara.

• whitepages.com — isim ve şehir kombinasyonuyla dene.

Not: Türkçe karakterli ismin varsa (ş, ğ, ü, ö gibi) karaktersiz yaz — örneğin “Altıntaş” yerine “Altintas”. Bu siteler Türkçe karakterleri tanımıyor ama latinize edilmiş haliyle eşleşme bulabiliyor.

Tam sonuçları görmek genellikle ücretli ama “eşleşme bulundu” mesajı bile ne kadar veri toplandığını görmek için yeterli. Listeden silinmek istiyorsan her sitenin kendi “opt-out” formu var. justdeleteme.com hangi siteden nasıl silineceğini adım adım gösteriyor.

Türkiye’deysen: KVKK hakkın var

Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında herhangi bir şirketten hakkında tutulan verileri öğrenme ve silme talebinde bulunabilirsin. kvkk.gov.tr üzerinden ilgili kuruma başvuru yapabilirsin. Özellikle Türk şirketleri ve platformları için bu hak doğrudan uygulanabilir.

8. Shodan ile Evini Kontrol Et

Shodan’ı daha önce duyduysan muhtemelen “hackerların aracı” olarak duymuşsundur. Kısmen doğru ama aynı zamanda senin de kullanabileceğin, hatta kullanman gereken bir araç. Çünkü Shodan internete bağlı her cihazı tarıyor: yönlendiriciler, güvenlik kameraları, akıllı TV’ler, hatta bebek monitörleri. Eğer bu cihazlar dışarıya açıksa Shodan onları buluyor ve sadece sen değil, herkes görebiliyor.

Kendi evinin dışarıdan nasıl göründüğünü kontrol etmek iki adım:

1. Önce ipleak.net‘e gir ve IP adresini öğren.

2. shodan.io‘ya git, o IP’yi arama çubuğuna yaz.

Sonuç çıkmıyorsa müjdemi isterim, dışarıdan görünür bir şey yok. Sonuç çıkıyorsa hangi portların ve servislerin açık olduğunu göreceksin; bu bilgiyi internet servis sağlayıcına ya da router ayarlarına bakarak kapatabilirsin.

Ücretsiz hesapla temel arama yapılabiliyor, kendi IP kontrolün için bu yeterli.

9. Sildiğini Sandıkların: Wayback Machine

İnternetten bir şeyi silmek, onu yok etmek değildir. Wayback Machine, yıllar içinde web sayfalarının anlık görüntülerini (snapshot) arşivleyen devasa bir kütüphanedir. 2001’den bu yana 900 milyardan fazla sayfa arşivlenmiş; senin eski blogun, sildiğin sosyal medya gönderilerin, kapattığın web siten hâlâ orada duruyor olabilir.

Nasıl kontrol edersin?

web.archive.org adresine gir, arama çubuğuna kontrol etmek istediğin URL’yi yaz:

web.archive.org/web/*/ornek.com
web.archive.org/web/*/twitter.com/kullanici_adin

Takvim görünümünde hangi tarihlerde arşivlendiğini görebilirsin. O tarihlere tıklayarak sayfanın o anki halini görebilirsin.

Arşivden silinmek mümkün mü?

Evet, ama zahmetli. web.archive.org/remove adresinden kaldırma talebinde bulunabilirsin ancak yalnızca sayfanın sahibiysen bu talep geçerli.

10. Telefon Numarası OSINT

Telefon numaranı sadece aile ve arkadaşlarına verdiğini zannetme. Bir yere üye olurken, bir siparişte, bir ilanda girdiğin her form o numarayı bir yere kaydetti. Peki numaran şu an herkese açık bir şekilde görünüyor mu?

Kendini ara

En basit ve etkili yöntem zaten elinin altında — Google. Numaranı tırnak içinde ara:

"05XX XXX XX XX"
"+90 5XX XXX XX XX"

Herhangi bir ilanda, forumda, web sitesinde geçiyor mu bir bak. Şaşırtıcı yerlerden çıkabilir.

Bir de truecaller.com‘u web üzerinden dene, numaranın başkalarının telefonunda hangi isimle kayıtlı olduğunu gösteriyor. Truecaller Türkiye’de yaygın kullanıldığı için sonuç çıkma ihtimali yüksek.

Not: GetContact gibi uygulamalar bu işi daha iyi yapıyor ama web üzerinden çalışmıyor, uygulama yüklemeyi zorunlu kılıyor ve kurulunca rehberini paylaşmış oluyorsun. Mahremiyetini korumak istiyorsan yükleme.

11. E-posta Başlık Analizi

Sana gelen bir e-postanın gerçekten kimden geldiğini merak edersen, e-posta başlıkları (headers) bu soruyu cevaplıyor ve okumayı bilirsen sahte mailleri saniyeler içinde ayırt edebilirsin.

Başlığı nasıl görürsün?

Her e-posta istemcisinde farklı ama mantık aynı:

• Gmail: Maili aç → sağ üstteki üç nokta → “Show original” (Orijinali göster)

• Outlook: Maili aç → Dosya → Özellikler → “İnternet üstbilgileri”

Karşına çıkan uzun metin e-postanın başlığı. Ham haliyle okunması zor — ama bir araç bunu senin için çözüyor.

Başlığı analiz et

mxtoolbox.com/EmailHeaders adresine gir, kopyaladığın başlığı yapıştır. Araç sana şunları söyler:

• E-posta gerçekten iddia ettiği sunucudan mı geldi?

• SPF ve DKIM kontrolleri geçti mi? (Bunlar e-postanın sahte olmadığını doğrulayan protokoller)

• Hangi IP adreslerinden geçti?

Kırmızı işaret görüyorsan o mail büyük ihtimalle sahte — silip geç.

Şüpheli bir mail aldıysan ve “acaba bu phishing mi?” diye düşünüyorsan, başlığı phishtool.com‘a yapıştır, otomatik olarak analiz ediyor.

12. GitHub ve Kod Sızıntıları

Geliştirici değilsen bu bölümü atlayabilirsin ama GitHub hesabın varsa mutlaka oku. Halka açık repo’lara yanlışlıkla sızdırılan API anahtarları, parolalar ve .env dosyaları en sık görülen açıklardan biridir. Üstelik fark ettiğinde çok geç olmuş olabilir: birisi o anahtarı çoktan kopyalamış, hatta otomatik botlar repo’ya yüklendikten saniyeler içinde tarama yapıyor.

Kolay yol: GitHub’un kendi arama çubuğu

Hiçbir araç kurmadan, GitHub’a giriş yap ve arama çubuğuna şunları yaz, her satırı ayrı ayrı ara:

kullanici_adin password
kullanici_adin api_key
kullanici_adin secret
kullanici_adin .env

Kendi kullanıcı adını ve gerçek proje isimlerini de dene. Herhangi bir sonuç çıkıyorsa ilgili dosyaya bak. GitHub araması yalnızca mevcut dosyalara bakar; bir sırrı sızdırıp sonradan sildiysen commit geçmişinde hâlâ duruyor olabilir. Geçmiş commit’leri de taramak istersen TruffleHog gibi araçlar bu işi yapıyor.

Sızdırdıysan ne yapmalısın?

1. Anahtarı/parolayı hemen iptal et (revoke), silmekten önce bu adımı at.

2. İlgili servisin panelinden yeni bir anahtar üret.

3. Repo geçmişini temizlemek istiyorsan git filter-repo aracına bak.

4. Bir daha olmaması için .gitignore dosyana .env ve config dosyalarını eklemelisin.

Sonuç

Buraya kadar okuduysan, kafanı biraz sızlattım, kusura bakma. Az önce kendine bir saldırganın gözünden baktın. Nasıl hissettirdi?

Şunu bilmek önemli: Birinin seni bulması için siyah kapüşonlu bir hacker olmasına gerek yok. Birkaç ücretsiz araç ve kısa bir süre çoğu zaman yeterli oluyor.

Aklında kalması gereken çıkarımlar:

1. Sızmış parolanı asla tekrar kullanma — HIBP’de bir şey çıktıysa ilgili tüm hesapları hemen güncelle.

2. Parola yöneticisi + 2FA şart — “Zor parola aklımda tutamam” artık bir mazeret değil.

3. Kullanıcı adını çeşitlendir — Her yerde aynı takma ad, profillerini tek bir kişide birleştiriyor.

4. Metadata’yı temizle — GPS olmasa bile telefon modelin, saatin ve ülken dosyanda yazıyor.

5. Silmek yok etmek değil — Wayback Machine, commit geçmişi, Google önbelleği… “Sildim” dediğin şey hâlâ bir yerde duruyor olabilir.

6. Haklarını kullan — Türkiye’deysen KVKK kapsamında verilerini sildirme hakkın var, kullan.

7. Bu kontrolü tekrarla — Dijital ayak izin sürekli değişiyor. 6 ayda bir bu listeye dön.

OSINT’i kendine uygulamak savunmanın ilk adımıydı. Saldırganın gördüğünü sen de gördün, şimdi iş işten geçmeden önlemlerimizi alalım.

Kaynakça

1. Have I Been Pwned
2. Mozilla Monitor
3. Epieos
4. WhatsMyName
5. Sherlock Project
6. ExifViewer
7. Metadata2Go
8. ExifRemover
9. PimEyes
10. IPLeak
11. BrowserLeaks
12. Spokeo
13. Whitepages
14. JustDeleteMe
15. KVKK
16. Shodan
17. Wayback Machine
18. Truecaller
19. MXToolbox E-posta Başlık Analizi
20. PhishTool
21. TruffleHog
22. OSINT Framework