Geçtiğimiz günlerde bir girişimci, üç yıldır emek verdiği SaaS şirketini saniyeler içinde kaybetti. Google’dan gelen e-posta sadece şu cümleden ibaretti: “Hesabınız politikalarımızı ihlal ettiği için askıya alınmıştır.”
Ne bir detay, ne bir referans numarası, ne de ulaşabileceği gerçek bir insan vardı. Sekiz yıllık Gmail’i, YouTube hesabı, Drive dosyaları, Play Store satın alımları ve en kötüsü, tüm iş altyapısını bağladığı tek bir hesap bir anda buharlaştı.
Notion’daki 3 yıllık ürün özellikleri, müşteri notları, sözleşme taslakları ve finansal tahminleri gitti. Figma’daki tüm tasarım sistemleri ve mockuplar uçtu. Linear’daki hata biletleri, Vercel’deki kod dağıtımı ve Stripe’daki tüm ödeme verileri… Hepsinin giriş yolu Google’dan geçiyordu. Neyi yanlış yaptığını hala bilmiyor çünkü Google ona asla söylemedi.
Buradan çıkarılacak asıl ders çok net: “Google ile Giriş Yap” (SSO) butonunu kullanmayı derhal bırakmalısınız.
1. Kendi girişinize sahip değilsiniz, onu sadece kiralıyorsunuz
“Google ile Giriş Yap” butonuna tıkladığınızda o uygulamada bir hesap oluşturmuyorsunuz. Uygulamaya “Google bana kefil” diyorsunuz. Google size kefil olmayı bıraktığı gün, hesabınız da yok olur.
Ortada bir sözleşme, bir SLA (Hizmet Seviyesi Sözleşmesi) veya başvurabileceğiniz bir mahkeme yoktur. Terraria’nın geliştiricisi Andrew Spinks’in 2021’de 15 yıllık Gmail hesabı hiçbir açıklama yapılmadan kapatılmıştı. Hesabını ancak oyununun Stadia portunu iptal edip olayı viral hale getirdikten sonra geri alabildi. Standart itiraz süreci onun için hiçbir işe yaramadı çünkü o sistem size yardım etmek için tasarlanmamıştır.
2. Tek hesap, tek kurşun
İnsanlar SSO’nun şifrelerden daha güvenli olduğunu söylüyor. Bu koca bir yalandır. Bir şifre yöneticisi, her site için benzersiz bir e-posta ve donanımsal 2FA anahtarı kombinasyonu; kolaylık hariç her eksende SSO’yu ezip geçer. Dağıtılmış risk yerine konsantre bir risk alıyorsunuz. Araçlarınızın 20’de 1’ini kaybetmek canınızı yakar ama 20’de 20’sini kaybetmek işinizi tamamen bitirir. Güvenlik uzmanlarının hepsi bunu bilir.
3. İflas eden girişimlerin OAuth açığı
Ocak 2025’te Truffle Security, Google’ın OAuth sisteminde alan adı sahipliği değişikliklerini nasıl yönettiğiyle ilgili kritik bir açık buldu. Bir girişim iflas ettiğinde alan adı boşa çıkar. Bir hacker bu alan adını 12 dolara satın alıp, eski çalışanların e-postalarını yeniden oluşturabilir. Daha sonra bu e-postalarla Slack, Notion, Zoom veya ChatGPT’ye gidip “Google ile Giriş Yap” diyerek şirketin tüm eski verilerine sızabilir.
Google, bu devasa açığı başlarda “düzeltilmeyecek” olarak işaretleyip ancak olay viral olduktan sonra müdahale etti ve komik bir şekilde 1.337 dolar ödül verdi.
4. Şifre sıfırlamak artık sizi kurtarmıyor
Google hesabınızın çalındığını düşündüğünüzde şifreyi değiştirip oturumları kapatmanın yettiğini sanıyorsanız yanılıyorsunuz. 2023’ün sonlarında araştırmacılar, Google’ın belgelenmemiş “multilogin” adlı bir OAuth uç noktasını keşfetti.
Lumma ve Rhadamanthys gibi zararlı yazılımlar, Chrome’dan çalınan bir yenileme belirteci ile taze oturum çerezleri oluşturup siz şifrenizi sıfırlasanız bile içeride kalmaya devam edebiliyor. Tek çözüm, Google güvenlik sayfanızdan her bir aktif oturumu ve üçüncü taraf OAuth izinlerini manuel olarak iptal etmektir. Kimse bunu yapmaz çünkü kimse bunu yapması gerektiğini bilmez.
5. Onay oltalama (Consent Phishing) saldırıları 2FA’yı hiçe sayıyor
2FA (İki Aşamalı Doğrulama) kullandığınız için güvende olduğunuzu mu düşünüyorsunuz? Onay oltalama saldırıları 2FA’yı tamamen es geçer. Saldırgan sizin gibi giriş yapmaya çalışmaz. Gerçek ve geçerli bir Google onay ekranı çıkararak zararlı uygulamalarına “E-postalarınızı okuma” veya “Drive’ınızı yönetme” izni vermenizi ister. “İzin Ver” dediğiniz an, kendi ellerinizle onaylanmış bir yetki teslim etmiş olursunuz.
Kimliğinizi doğrulamanız değil, yetkilendirmeniz istenir ve bu tamamen farklı bir mekanizmadır.
6. Tıklamasanız bile o buton sizi izliyor
“Google ile Giriş Yap” butonu basit bir görsel değildir; Google sunucularından yüklenen bir kod parçasıdır. O butonun bulunduğu her sayfa yüklendiğinde, Google sizin hangi sayfada olduğunuzu, tarayıcınızı ve başka bir sekmede Google’a giriş yaptıysanız tam olarak kim olduğunuzu görür. Tıklamanıza bile gerek yoktur.
Apple’ın “Apple ile Giriş Yap” sisteminde her uygulama için özel bir yönlendirme adresi oluşturulurken, Google’da gerçek e-postanız tüm uygulamalara doğrudan teslim edilir.
7. Kolaylık bir tuzaktır
SSO kullanışlıdır. Basit bir haber sitesi veya podcast uygulaması için o kolaylığa değer. Ancak sorun, insanların aynı Google hesabını şirketlerinin Stripe hesabı, muhasebe portalları ve bulut sağlayıcıları için de kullanmasıdır.
Kural “SSO’yu asla kullanma” olmamalıdır. Kural şu olmalıdır: Bu servise 30 gün erişememek işinize veya paranıza zarar verecekse, SSO kullanmayın.
Peki ne yapmalısınız?
- Denetleyin: Hemen myaccount.google.com/connections adresine gidin. İzin verdiğiniz tüm uygulamaları inceleyin. Tanımadığınız veya son altı aydır kullanmadığınız her şeyin erişimini acilen iptal edin.
- Ayırın: İşinizle veya paranızla ilgili hiçbir şeye (Stripe, alan adı kaydediciniz, bulut sağlayıcınız, muhasebe yazılımınız, Slack vb.) Google üzerinden giriş yapmayın. Nokta. Gerçek bir hesap oluşturun, gerçek bir şifre kullanın ve donanımsal 2FA kurun.
- Takma ad (Alias) kullanın: Gerçek e-postanızı her uygulamaya vermeyi bırakın. Proton, Fastmail, SimpleLogin veya Apple’ın yönlendirme hizmetleriyle uygulamalara özel takma adlar oluşturun. Biri sızarsa o adresi yakar ve yolunuza devam edersiniz.
- Kurtarma zincirini kırın: Şifre yöneticinizin, bulut hesaplarınızın veya alan adı kaydedicinizin kurtarma e-postası asla Gmail’iniz olmasın. Gmail’iniz yarın kapanırsa, sizin için önemli olan her şeyi hala kurtarabilmelisiniz.
- En kötüsünü varsayın: 10 dakika oturun ve kendinize şu soruyu sorun: “Google hesabım bu gece yok olsaydı, tam olarak neleri kaybederdim?”
