QR Kodlar Mahremiyetimiz İçin Bir Tehdit Mi?

Önceleri sadece marketlerde karşılaştığımız QR kodlar, COVID-19 ve artan sağlık önlemleriyle birlikte artık hayatımızın her alanında karşımıza çıkıyor. Hijyenin artırılması için bir sağlık önlemi olarak hayatımıza dahil olan QR kodlar, işletmelere çok daha fazlasını sunuyor: Müşterilerinin dijital profilleri. QR kodlar sayesinde fiziksel dünyada yaptığımız işlemler artık dijital ortama taşınmakta, bu dijital işlemler de işletmeler tarafından takip edilebilir hale gelmekte. QR kodların açmış olduğu internet siteleri ve uygulamalar, işletmelerin fiziksel dünyada elde etmiş oldukları müşteri bilgilerini dijital dünyada elde ettikleri bilgiler ile birleştirmelerine olanak sağlıyor ve böylece çevrimiçi ve çevrimdışı aktiviteler birbirleriyle ilişkilendirilebiliyor.

Gündelik hayatımızdan bir örnek ile durumu şu şekilde açıklamak mümkün: İlk defa gittiğiniz bir restoranda QR kodu tarattığınızda menünün yer aldığı internet sitesine yönlendirilirsiniz. Bu internet sitesi “cookie” yani çerez depolayarak aynı restoranı ikinci kez ziyaret etmeniz ve QR kod ile dijital menüye erişim sağlamanız halinde sizin restoranı ikinci kez ziyaret eden bir müşteri olduğunuzu tespit edebilecektir. Daha da ileri bir senaryoda bu internet sitesi masa numaranızı içeren bir linke yönlendiriyorsa ve bu masa numaranızla siparişinizi eşleştirirse işletme sahibi geçmiş seferki ziyaretinizde vermiş olduğunuz siparişin içeriğini de görüntüleyebilecek ve bu verileri saklayabilecek, duruma göre üçüncü kişiler ile paylaşabilecetir. Geniş resimde tüm bu veriler, kullanıcıların yeme alışkanlıklarının tespit ve takip edilebilmesi açısından oldukça geniş bir veri havuzu oluşturacaktır.

Yani QR kodların kendileri olmasa da, kullanıcıların bu kodlar ile yönlendirildiği web siteler veya uygulamalar, gerek işletmelerin gerekse de toplanan verilerin paylaşıldığı üçüncü kişilerin işletme müşterilerinin takip edilmesi, profillenmesi ve hedeflenmesine olanak sağlamakta, QR kodlar ise bunlar için bir aracı rolü görmektedir.

Yine mahremiyet açısından bir diğer endişe verici nokta ise gizlilik politikaları. QR kodların en yaygın kullanıldığı işletmeler arasında restoranlar ve giyim mağazaları yer almakta. QR kod ile restoran menüsüne yönlendirilen bir kullanıcının yemeğini seçmeden önce uzunca bir süre menünün yer aldığı internet sitesinin verileri ne şekilde sakladığını öğrenmek için gizlilik politikasını incelemesi veya bir mağazaya alışveriş yapmak için gelmiş olan müşterinin incelediği ürün hakkında online bilgiye erişmek için tarattığı QR kod ile yönlendirildiği internet sitesinde karşısına çıkan gizlilik politikasını uzun uzun incelemesi de gerçekleşme ihtimali çok düşük olan bir ihtimaldir. Bu durum da kullanıcıların kendi verileri üzerinde karar vermesini oldukça zorlaştırmakta, kullanıcıları mahremiyet ihlallerine çok daha açık hale getirmektedir.

QR kodların aynı zamanda kullanıcılar için birtakım siber güvenlik riskleri oluşturduğu da unutulmamalı. Nitekim QR kodu tarayan kullanıcı çoğu zaman yönlendirildiği internet sitesinin veya uygulamanın güvenli bir site veya uygulama olup olmadığını bilme imkanına sahip değil. Recorded Future adlı siber güvenlik firmasında risk analiz uzmanı olan Allan Liska’ya göre sokak lambalarında veya otobüs duraklarında tek başına duran bir QR kod çıkartmasını gören kullanıcılar kesinlikle bu kodu taratmamalılar.

Bunları destekler nitelikte, 18 Ocak 2022 tarihli FBI tarafından yayınlanan kamu spotunda da QR kodların siber güvenlik açısından oluşturacağı sorunlara değinilerek halkı bilinçlendirmek amaçlandı. Söz konusu kamu spotunda siber suçluların güvenli görünen bir QR kod ile kullanıcıları güvenli olmayan internet sitelerine yönlendirerek finansal bilgilerini ele geçirebileceklerinden bahsedildi. Yine aynı şekilde güvenli olmayan QR kodların siber suçlulara kullanıcının cihazına erişim sağladığı ve bu erişim sayesinde kullanıcının lokasyonu ve finansal bilgileri de dahil çeşitli bilgilerinin ele geçirilebileceği konusunda kullanıcılar uyarıldı. Bu tür tehlikelerden korunmak için paylaşılan ipuçları ise şöyle:

  • QR kodu tarattığınızda yönlendirildiğiniz internet sitesinin URL’sinin güvenli olup olmadığını mutlaka kontrol edin, ufak yazım hataları bir URL’nin güvenli olup olmadığını gösterebilir.
  • QR kod tarafından yönlendirildiğiniz bir internet sitesi ile hesap, kişisel ve finansal bilgilerinizi paylaşmadan önce temkinli yaklaşın.
  • Fiziksel bir ortamda bulunan QR kodu taratırken bu QR kodun orijinal kodun üzerine yapıştırılmış başkaca bir çıkartmada yer alan bir kod olmadığından emin olun.
  • QR kod aracılığı ile bir uygulamayı kesinlikle indirmeyin. Bunun yerine telefonunuzda var olan uygulama mağazasını (App store) kullanın.
  • Alışveriş yaptığınız bir işletmede ödemenizin gerçekleştirilemediği ve ancak gönderilen QR kod ile ödemeyi tamamlayabileceğinizi söyleyen mailleri dikkate almadan önce alışveriş yaptığınız işletme ile işbu durumu teyit edin. İşletmeye ait telefon numarasını şüpheli mail içerisinden değil, güvenilir bir kaynaktan edinin.
  • QR tarayıcı kullanmaktan kaçının zira indirdiğiniz bu tarayıcı güvenli bir tarayıcı olmayabilir. Bunun yerine çoğu telefonda yer alan telefonunuzun kendi QR tarayıcısını kullanın.
  • Tanıdığınız bir kişiden gelen QR kodu taratmadan önce kodu gerçekten de tanıdığınız kişinin gönderip göndermediğini güvenilir bir şekilde teyit edin.
  • QR kod tarafından yönlendirildiğiniz bir internet sitesi aracılığı ile ödeme yapmaktan mümkün olduğunca kaçının. Bunun yerine manuel olarak güvenilir bir URL yazarak ödemenizi tamamlayın.

Özetle, bazı söylentilerin aksine QR kodların kendileri veri güvenliği açısından hiçbir sorun oluşturmamakta zira bu QR kodlar sadece internet sitesi veya uygulamanın linkini içermekte ve bu internet sitesi veya uygulamanın açılması için bir kapı görevi görmekte. Mahremiyet açısından asıl sorunu, QR kodlar sayesinde yönlendirildiğimiz uygulamalar veya internet siteleri oluşturmakta. Bu siteler veya uygulamalar verilerimizi çeşitli şekillerde depolamakta, saklamakta ve işlemekte, bu sayede de işletmeler kullanıcıları yani müşterilerini online olarak takip edebilmekte ve profilleyebilmekte. Sonuç olarak QR kodların değil ama yönlendirildiğimiz uygulama ve internet sitelerinin veri mahremiyeti açısından oluşturabileceği tehditler göz ardı edilmemelidir.

Bu yazı Verini Koru gönüllüsü Eslin Özlem tarafından hazırlanarak, 06.11.2022 tarihinde sitemizde yayınlanmıştır.

KAYNAKÇA:

  1. https://learn.g2.com/qr-code-security
  2. https://www.washingtonpost.com/technology/2021/10/07/are-qr-codes-safe/
  3. https://educatedguesswork.org/posts/qr-code-menus/
  4. https://www.makeuseof.com/ways-scanning-qr-codes-expose-security-threats/
  5. https://www.ic3.gov/Media/Y2022/PSA220118