Kişisel Güvenlik için OSINT Araçları: Dijital Ayak İzinizi Nasıl Denetlersiniz
Hackerlar, takipçiler ve sosyal mühendisler, hedefler hakkında bilgi toplamak için OSINT (Open Source Intelligence) tekniklerini kullanır. Kendi maruziyetinizi denetlemek, sızdırılan kimlik bilgilerini bulmak ve dijital ayak izinizi azaltmak için aynı araçları savunma amaçlı nasıl kullanacağınızı öğrenin.
Açık Kaynak İstihbaratı (OSINT), halka açık kaynaklardan toplanan bilgilere atıfta bulunur: sosyal medya profilleri, kamu kayıtları, veri ihlalleri, arama motorları ve data broker veritabanları. Güvenlik uzmanları, soruşturmalar ve sızma testleri için OSINT kullanırlar, ancak aynı teknikleri saldırganlar bireyleri hedeflemek için kullanır.
En iyi savunma, kendi maruziyetinizi anlamaktır. Bu rehber, sizinle ilgili araştırma yapan bir saldırganın tam olarak ne bulacağını görebilmeniz için ücretsiz ve erişilebilir araçları kullanarak kişisel bir OSINT denetiminden geçiyor.
Çevrimiçi Olarak Sizin Hakkınızda Ne Bulunabilir?
Araçlara dalmadan önce, herhangi bir bireyin tipik olarak keşfedilebilen şeylerin kapsamını anlamak yardımcı olur:
- Tam ad, adres, telefon numarası – Data broker'lar kamu kayıtlarını toplar ve herkes tarafından aranabilir hale getirir.
- E-posta adresleri – Sıklıkla ihlallerde sızdırılır veya alan adı kayıtları ve sosyal medya aracılığıyla bulunabilir.
- İş ve eğitim geçmişi – LinkedIn, üniversite rehberleri, şirket web siteleri.
- Akrabalar ve ilişkiler – Data broker'lar, kamu kayıtlarından aile bağlantılarını çapraz referanslar.
- Fotoğraflar ve coğrafi konum – Sosyal medya gönderileri, yorumlar ve GPS koordinatlarını ifşa eden EXIF meta verili görüntüler.
- Sızdırılan kimlik bilgileri – Veri ihlallerinden ve stealer log enfeksiyonlarından parolalar ve oturum tokenları.
- Çevrimiçi hesaplar – Kullanıcı adı aramaları, hangi platformlarda kayıtlı olduğunuzu ortaya çıkarır.
Bu bilgi saldırganlar tarafından sosyal mühendislik (ikna edici phishing mesajları oluşturma), kimlik bilgisi saldırıları (bilinen bilgileri kullanarak parola tahmin etme), doxing (kişisel detayları yayınlama) ve kimlik hırsızlığı için kullanılır.
Kişisel OSINT Denetiminiz: Adım Adım
Adım 1: Adınızı ve Varyantlarını Arayın
Adınızı bilen herkesin ne bulabileceğiyle başlayın:
- Tam adınızı (tırnak içinde) Google, Bing ve DuckDuckGo'da arayın
- Ad + şehir, ad + işveren, ad + e-posta arayın
- Daha derin sonuçlar için Google Dorks kullanın:
"Ahmet Yılmaz" site:linkedin.com– LinkedIn profillerini bulun"ahmet.yilmaz@" filetype:pdf– E-postanızı içeren belgeleri bulun"Ahmet Yılmaz" inurl:about– Sizden bahseden hakkında sayfalarını bulun
Aranacaklar: Eski forum gönderileri, önbelleğe alınmış sayfalar, iletişim detaylarınızı içeren belgeler veya data broker profilleri gibi beklenmedik sonuçlar.
Adım 2: Data Broker Sitelerini Kontrol Edin
Data broker'lar, kamu kayıtlarından, seçmen listelerinden, mülk kayıtlarından ve çevrimiçi etkinlikten kişisel bilgileri toplar ve satar. Aşağıdaki siteler muhtemelen sizin hakkınızda bir profile sahiptir:
| Data Broker | Açığa Çıkardıkları | Nasıl Kaldırılır |
|---|---|---|
| Spokeo | Ad, adres, telefon, akrabalar, sosyal profiller | spokeo.com/optout |
| Whitepages | Ad, adres, telefon, yaş, akrabalar | whitepages.com/suppression-requests |
| BeenVerified | Adli sicil kayıtları, mülk, sosyal profiller | beenverified.com/faq/opt-out |
| PeopleFinder | Adres geçmişi, telefon numaraları, akrabalar | peoplefinder.com/optout |
| Intelius | Geçmiş kontrolleri, iletişim bilgisi | intelius.com/opt-out |
Otomatik kaldırma: DeleteMe ve Incogni gibi hizmetler, abonelik ücreti karşılığında düzinelerce data broker'da sizin adınıza opt-out talepleri gönderecektir. Zamanınıza değer veriyorsanız, bu hizmetler değerlidir.
Adım 3: Sızdırılan Kimlik Bilgilerini Kontrol Edin
Bu en kritik adımlardan biridir. E-posta adresinizi ihlal veritabanları ve stealer log koleksiyonlarında arayın:
- Intelligence Security Email Breach Check – İhlal veritabanları, stealer logları ve dark web kaynakları dahil 500 milyardan fazla kayıt arasında arar. Günde bir ücretsiz denetim.
- Stealer Log Araması – Kimlik bilgileriniz için infostealer kötü amaçlı yazılım çıktısını özel olarak arar.
- Oturum Çerezi Araması – Aktif oturum tokenlarınızın dolaşımda olup olmadığını kontrol eder.
Herhangi bir kimlik bilgisi bulunursa, derhal ihlal yanıt rehberini takip edin.
Adım 4: Kullanıcı Adı Varlığınızı Denetleyin
Çoğu insan platformlar arasında aynı kullanıcı adını yeniden kullanır. Sherlock ve Namechk gibi araçlar, bir kullanıcı adının yüzlerce platformda eş zamanlı olarak var olup olmadığını kontrol edebilir.
Bu şunları ortaya çıkarır:
- Unuttuğunuz eski hesaplar (hâlâ kişisel veri içerebilir)
- Sizin kimliğinize bürünen başka birinin oluşturduğu hesaplar
- Kullanıcı adınıza bağlı bilgilerin kapsamı
Keşfedilen her hesap için, gizlilik ayarlarını güncellemek mi, silmek mi yoksa bırakmak mı gerektiğine karar verin. Eski kimlik bilgilerine sahip terkedilmiş hesaplar önemli bir risktir.
Adım 5: Sosyal Medya Maruziyetinizi İnceleyin
Her sosyal medya profilinize bir yabancı olarak bakın. Çıkış yapın ve neyin halka açık olarak görüldüğünü görmek için profillerinizi ziyaret edin:
- Profil fotoğrafı – Ters görüntü araması veya yüz tanıma için kullanılabilir
- Biyografi detayları – İşveren, konum, doğum günü, okul
- Gönderiler ve check-in'ler – Kalıplar rutinleri, seyahat programlarını, ev konumunu ortaya çıkarır
- Arkadaş/takipçi listesi – İlişkileri ortaya çıkarır ve sosyal mühendislik için kullanılabilir
- Etiketlenmiş fotoğraflar – Başkaları konumunuzu veya etkinliklerinizi ifşa eden fotoğraflar yayınlamış olabilir
Adım 6: Fotoğraf Meta Verilerini Kontrol Edin
Akıllı telefonlarla ve kameralarla çekilen fotoğraflar şunları içerebilen EXIF meta verileri içerir:
- GPS koordinatları (fotoğrafın çekildiği yerin enlem/boylam)
- Tarih ve saat
- Cihaz modeli ve seri numarası
- Kamera ayarları
Çevrimiçi yayınladığınız fotoğrafları kontrol etmek için ExifTool veya çevrimiçi EXIF görüntüleyicilerini kullanın. Birçok sosyal medya platformu yüklemede EXIF verilerini kaldırır, ancak hepsi kaldırmaz ve e-posta veya mesajlaşma uygulamaları aracılığıyla paylaşılan görüntüler genellikle bunları korur.
Adım 7: Alan Adınızı Tarayın (Sahipseniz)
Kişisel bir alan adınız varsa veya bir web sitesi işletiyorsanız, şunları keşfetmek için Alan Adı Keşfi aracını kullanın:
- Dahili hizmetleri ifşa edebilecek alt alan adları
- Alan adınızla ilişkili e-posta adresleri
- Halka açık olmaması gereken arama motorlarınca dizinlenen URL'ler
Dijital Ayak İzinizi Azaltma
Denetiminizi tamamladıktan sonra, maruziyetinizi azaltmak için şu adımları atın:
Acil Eylemler
- Data broker'lardan vazgeçin – Verilerinize sahip her broker'a kaldırma talepleri gönderin
- Sosyal medyayı özel olarak ayarlayın – Profil görünürlüğünü yalnızca arkadaşlar/bağlantılarla sınırlayın
- Kullanılmayan hesapları silin – Her eski hesap potansiyel bir ihlal hedefidir
- Sızdırılan parolaları değiştirin – Bir parola yöneticisi aracılığıyla benzersiz parolalar kullanın
- 2FA'yı her yerde etkinleştirin – SMS yerine kimlik doğrulama uygulamalarını tercih edin
Sürekli Uygulamalar
- Ayrı e-posta adresleri kullanın – Biri önemli hesaplar için, biri abonelikler ve kayıtlar için
- Yayınlamadan önce fotoğraf meta verilerini kaldırın – Çoğu fotoğraf düzenleyicide EXIF verilerini kaldırma seçeneği vardır
- IP tabanlı izlemeyi önlemek için halka açık Wi-Fi'da VPN kullanın
- Profillerdeki kişisel detayları sınırlayın – Doğum tarihi, telefon numarası veya memleket yayınlamaktan kaçının
- Önemli olmayan hesaplar için takma adlar kullanın – Forumların, bültenlerin ve rastgele hizmetlerin gerçek adınıza ihtiyacı yoktur
- Gizlilik ayarlarını üç ayda bir gözden geçirin – Platformlar sıklıkla varsayılanlarını değiştirir
OSINT Araçları Referans Tablosu
| Kategori | Araç | Yaptığı |
|---|---|---|
| İhlal Araması | Intelligence Security | 500 milyardan fazla kayıt arar: ihlaller, stealer logları, dark web |
| İhlal Araması | Have I Been Pwned | Bilinen halka açık veri ihlallerini kontrol eder |
| Stealer Logları | IS Stealer Log Search | Infostealer kötü amaçlı yazılım çıktısını arar |
| Oturum Çerezleri | IS Cookie Search | Çalınan oturum tokenlarını kontrol eder |
| Alan Adı Keşfi | IS Domain Recon | Herhangi bir alan adı için alt alan adları, e-postalar, URL'ler |
| Kullanıcı Adı Araması | Sherlock / Namechk | 300+ platformda hesap bulur |
| Fotoğraf Analizi | ExifTool | Görüntülerden meta veri çıkarır |
| Data Broker'lar | DeleteMe / Incogni | Data broker'lardan otomatik opt-out |
| OSINT Dizini | OSINT Framework | OSINT araçlarının düzenlenmiş dizini |
Sıkça Sorulan Sorular
OSINT yasal mı?
Evet. OSINT tanım olarak yalnızca halka açık bilgileri kullanır. Ancak, bilgiyi nasıl kullandığınız önemlidir. Kişisel güvenlik denetimi, yetkili güvenlik testi ve meşru soruşturmalar için OSINT kullanmak yasaldır. Birini takip etmek, taciz etmek veya doxxlamak için kullanmak çoğu yargı bölgesinde yasadışıdır.
Kişisel bir OSINT denetimini ne sıklıkla yapmalıyım?
Her 6 ayda bir kapsamlı bir denetim iyi bir uygulamadır. Özellikle ihlal kontrolü için, her gün yeni ihlaller keşfedildiğinden üç aylık veya aylık taramalar önerilir.
Birinin çevrimiçi olarak kimliğime büründüğünü bulursam ne yapmalıyım?
Olayın gerçekleştiği platforma kimliğe bürünmeyi bildirin. Çoğu sosyal medya platformunun kimliğe bürünme bildirim özellikleri vardır. Kimliğe bürünme dolandırıcılık veya tehdit içeriyorsa, kolluk kuvvetlerine de bildirin.
Benim için OSINT denetimi yapacak birini tutabilir miyim?
Evet. OSINT araştırmacıları ve siber güvenlik danışmanları kişisel tehdit değerlendirmeleri sunar. Bu özellikle yöneticiler, kamuya mal olmuş kişiler ve takip konusunda endişeli kişiler için yaygındır. Ancak bu rehberdeki adımlar, kendiniz kontrol edebileceğiniz en kritik alanları kapsar.
En üst ihlal kaynakları
- OSINT Framework — Ücretsiz OSINT araçları ve kaynakları koleksiyonu
- NordStellar — Dark web ve ihlal izleme platformu
- Have I Been Pwned — Troy Hunt'ın ihlal bildirim hizmeti
- Shodan — İnternete bağlı cihaz arama motoru
- Maltego — OSINT ve grafiksel bağlantı analiz aracı
Bu makale yalnızca eğitim ve güvenlik farkındalığı amaçlıdır.
Maruziyetinizi Şimdi Kontrol Edin
Veri ihlalleri, tehlikeye atılmış kimlik bilgileri veritabanları ve tehdit istihbaratı kaynaklarından 500 milyardan fazla açığa çıkmış kayıtta arama yapın.
Ücretsiz İhlal Kontrolü