Gmail kayıtlarında artık QR kod taranıp kısa mesaj gönderme yöntemine geçiliyor

 (discuss.privacyguides.net)
3 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Google hesap kayıt yöntemi değişti; mevcut SMS alma ile doğrulama yerine kullanıcının telefonundan doğrudan SMS gönderme yöntemine geçiliyor
  • Akıllı telefonda QR kod taratıldığında Google’a otomatik olarak SMS gönderiliyor ve telefon numarası doğrulaması bu şekilde yapılıyor
  • Bu değişiklik, SMSpool gibi geçici numara alma servisleri üzerinden hesap oluşturulmasını engelliyor
  • Oltalamayı önleme açısından etkili olsa da, gizliliğe önem veren kullanıcılar için anonim hesap oluşturmak daha zor hale geliyor
  • Ülkelere göre SIM kartta gerçek kimlik kaydı ve numara yeniden tahsisi nedeniyle, Google’ın geçmiş telefon numarası kayıtlarıyla kimliği takip edip edemeyeceği veya yeniden doğrulama isteyip isteyemeyeceği önemli bir tartışma konusu haline geliyor

Değişen kayıt yöntemi

  • QR kod üzerinden kullanılan eski kayıt yöntemi artık çalışmıyor; akıllı telefonda QR kod taratıldığında kullanıcının telefonundan Google’a SMS gönderilerek telefon numarası doğrulanıyor
  • Bu yöntem güvenlik amacıyla devreye alındı ve oltalamayı zorlaştırma etkisi bulunuyor
  • Ancak SMSpool gibi yalnızca SMS alma amaçlı servisler üzerinden doğrulama artık mümkün değil

Gizlilikle ilgili endişeler

  • Sıradan kullanıcılar zaten genelde SMS doğrulama servislerini kullanmıyor; bu değişiklikten etkilenenler daha çok gizliliğe önem veren kişiler
  • İkinci el hesap satın almak, önceki sahiplerle bağlantının bilinmemesi nedeniyle kendine özgü riskler taşıyor
  • Google’ın giderek daha kapalı hale geldiği ve buna karşı dolaylı yöntemlere ihtiyaç duyulduğu yönünde tepkiler de var

QR kod doğrulamasının bölgelere göre uygulanması

  • QR kod doğrulamasının tüm ülkelerde aynı şekilde uygulanıp uygulanmadığına dair soru işaretleri var
  • Bazı ülkelerde (ör. İtalya) SIM kart satın alırken kimlik kaydı zorunlu ve bu numarayla hesap oluşturulduktan sonra numara yeniden tahsis edilirse iz sürmenin mümkün olup olmadığı belirsiz
  • Google, kullanıcının kaydettiği tüm telefon numaralarının geçmişini tutuyor, ancak artık sahip olunmayan numaralarla doğrulamaya izin vermiyor

Güvenlik açısından karşı görüş

  • Kullanıcının telefonundan SMS gönderilmesi yöntemi, telefon numarası spoofing olasılığı nedeniyle bunun MFA için kullanılmasına dair endişeler doğuruyor
  • Sonuçta SMS gönderme hizmeti sunan yeni dolaylı servislerin ortaya çıkacağı yönünde öngörüler de dile getiriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • Gmail hakkında çok şikayet var ama Google’ın içinde bulunduğu durumu da bir ölçüde anlamak mümkün
    Fiilen internet altyapısının büyük bir kısmını ücretsiz şekilde ayakta tutma rolüne bağlanmış durumda ve kullanıcı sayısı o kadar fazla ki kapatsa dünya çapında ortalık karışır
    Bakımı pahalı, karmaşık ve zaman alıyor; ayrıca spam ve dolandırıcılığın hem çıkış noktası hem de varış noktası. Verileri fiilen sonsuza kadar saklama yükü de büyük
    Yine de ücretsiz e-posta fikrinin kendisinin temelden iyi olmadığını düşünüyorum. Ücretsiz e-posta hizmetlerinin iyi olmasını ya da iyi desteklenmesini beklemek zor ve hâlâ var olmalarının sebebi iyi niyetten çok yaratacağı tepki korkusu olabilir. Doğrudan ücretli e-posta hizmeti kullanmak daha iyi ve daha huzurlu

    • “Ücretsiz olarak üstlendi” ifadesi doğru değil. Google bunu kendi isteğiyle ücretsiz sundu ve o dönemde ücretsiz depolama alanı akıl almaz derecede büyüktü
      O zamanlar ISP posta kutuları 25MB ya da 50MB verirse gayet iyi sayılırdı, Google ise insanları çekmek için 1~2GB sunuyordu
      Kötüye kullanımı önlemek için önlem alma hakkı var ve ücretsiz sunmak zorunda da değil, ama Google ücretsiz e-postayı zorla üstlenmedi; rakiplerinden çok daha büyük avantajlar sunmak da kendi tercihiydi
    • “Ücretsiz”in ne anlama geldiğini bilmiyorum. Google kullanıcılardan elde ettiği tüm verilere sahip ve artık telefon kullanmadığınız zamanlarda bile sizi izleyebiliyor
      İnternetin nasıl işlediğini de kontrol ediyor. HTTPS’yi zorunlu kılabiliyor, izleyicileri ya da etag’leri dilediği gibi yönetebiliyor
      Kullanıcılarla ilgili tüm bilgileri iyi bir fiyata satabilir ve şartlara göre istediği zaman parça parça satarsa kullanıcıların itiraz etmesi de zor olur. Dışarıdan ücretsiz gibi görünebilir ama birçok insan farklı şekillerde Google’a prim ödüyor
      Eski Google, inovasyon ve iyi fikirlerle daha iyi bir dünya kurduğu için saygı görüyordu; bugün de dünyayı değiştiriyor ama herkesin yararına olacak yönde değil
    • Bu hiç doğru değil. Google ürünleri ve hizmetleri gayet rahat biçimde sık sık kapatıyor
      Eğer Gmail, kullanıcılardan doğrudan ya da dolaylı olarak çıkardığı ve sattığı veriden daha pahalı olsaydı Gmail de var olmazdı
    • Gmail ne şimdi ne de geçmişte hiçbir zaman ücretsiz olmadı. Herkes bedelini ödüyor
      Şirketlerin müşterilere ulaşabilmesi için toplu gönderim adına izin listelerine para ödemesi gerekiyor ve bu maliyet Gmail’i hiç kullanmamış müşterilere bile yansıtılıyor
      Böyle listelere para ödemeyen bir şirketin çok sayıda Gmail kullanıcısı müşterisi varsa dikkatli bir şekilde gönderim hızı sınırına takılması gerekir; bu yüzden e-postalar aynı gün ulaşmayabilir
      E-posta pazarlama ve kampanya şirketleri de bu listelere para ödüyor, sonra maliyeti müşterilerine aktarıyor. Milyonlarca kişiye toplu e-postayı ücretsiz kabul eden bir e-posta sağlayıcısı diye bir şey zaten hiç olmadı
    • Google ekosistemi geçen yıl 130 milyar dolardan fazla kâr etti, o yüzden hiç de acınacak durumda değil

  • Eğer burada bir Gmail yetkilisi varsa, Google’ın kendi hizmetleri kötüye kullanılarak yapılan Gmail kimlik avı e-postalarına neden izin verdiğini açıklamasını isterdim. Örneğin https://storage.googleapis.com/savelinge/ gibi şeyler
    Daha fazla ayrıntı burada: https://news.ycombinator.com/item?id=46665414

    • Son zamanlarda spam gerçekten çok kötüleşiyor. Filtreleri aşmak için meşru siteleri kullanıyorlar; hatta normal fatura oluşturma siteleri üzerinden fatura gönderme yöntemi de var
      Bir de sipariş ettiğiniz bir ürünün kargo takip hizmeti gibi davranıp birkaç güne yayılan şekilde paketin kaybolduğunu düşündürüyorlar ve “satın alma tutarı” kadar indirim kodu veriyormuş gibi yapıp bunu bir kimlik avı sitesinde kullanmaya yönlendiriyorlar
      Gmail bu postaları spam olarak sınıflandıramadığı gibi bir de önemli e-posta olarak işaretleyip en yüksek öncelikli bildirim ve özet bile gösteriyor
    • Google kendi hizmetleri işin içindeyse her şeye göz yumuyor gibi görünüyor. *.bc.googleusercontent.com yıllardır fiilen bir spam çiftliği olarak kullanılıyor, ben de tamamen engelledim
      Ama Google, Compute Engine kullanıcılarına en ufak bir rahatsızlık vermemek için hiçbir şey yapmamayı tercih ediyor gibi
    • Bunun sebebi spam filtrelemenin zor olmasıyla aynı. Hizmetin kötüye kullanımını tamamen yakalamaya çalışırsanız yanlış pozitif sayısı o kadar artar ki iş imkânsız hale gelir
    • Cevap değil ama en azından @gmail.com adreslerinden gelen o bariz ve aptal “Costco” spam’inin neden ne kadar spam olarak işaretlesem de gelen kutusuna düşmeye devam ettiğini açıklayan bir varsayım sunuyor
    • Görünüşe göre Google, satın aldığı AppSheet’in dolandırıcılar tarafından kullanılıp oldukça inandırıcı ve hedefli e-postalar göndermesini engelleyemiyor. Bu e-postalar normal gelen kutusuna kadar ulaşıyor
      Talepler görmezden geliniyorsa, yapılabilecek tek şey bu işe alım dolandırıcılığı e-postalarını adına bürünülen markanın hukuk, dolandırıcılık ve kimlik avı müdahale ekiplerine iletmek olabilir. Şirket ilgisiz görünüyorsa bir hukuk bürosu adına gönderilmiş resmi yazı öncelik kazandırmaya yardımcı olabilir

  • “Akıllı telefonda QR kod kullanılırsa telefondan Google’a SMS gönderilerek telefon numarası doğrulanır” iddiası konusunda, yalnızca QR kodu taramanın mesaj gönderdiğini sanan forum yorumlarından daha iyi bir kaynak olup olmadığını merak ediyorum
    Kontrol ettim; bu sadece bir SMS URI. Otomatik olarak hiçbir şey göndermiyor, yalnızca kullanıcının göndereceği kısa mesajı açıyor
    Sonuçta eski telefon numarası doğrulamasına eklenmiş bir QR kod kolaylığı bu

    • Telefon bunu yapamıyorsa ne olduğunu bilmiyorum. Kapaklı telefon kullanıyorum; kamerası var ama QR kod tarama yapamıyor
    • Eski yöntemde SMS’i kullanıcı alıyordu. Artık SMS almak telefon çiftliklerine 30 sente mal olduğu için Google bunu gönderim yönüne çeviriyor. Telefon çiftlikleri yakında buna da uyum sağlar ama
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • Muhtemelen telefonda mesajlaşma uygulamasını açıp numarayı ve metni önceden doldurması yeterlidir. Kullanıcının sadece gönder düğmesine basması gerekir
    • Telefon numarası doğrulama genelde Google’ın kullanıcıya SMS göndermesi şeklinde olmuyor mu? Tersi bana yabancı geliyor

  • Google’ın son hamlesi, antitröst mahkemesinin aradığı kesin kanıt gibi görünüyor. “Bunu yap, yoksa…” yaklaşımı gibi
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab, Google Play dahil hepsi Google reklam makinesinden ayrılıp bağımsız olarak sürdürülebilir işler olmak zorunda kalmalı
    Gmail kullanıcı kazanmak için diğer e-posta sağlayıcılarıyla rekabet etmeli, reCAPTCHA da altyapı maliyetini yalnızca reCAPTCHA gelirleriyle karşılamak zorunda olmalı. Bu, rekabet ortamını eşitlemek, eleştirileri yatıştırmak ve nefes aldırmak için iyi bir yöntem olur

    • Google, yapay zekanın arama imparatorluğu ve reklam imparatorluğu için devasa bir tehdit olduğunu söylüyordu. Ama yargıç Google’ın tekelci kötüye kullanımı konusunda şaşırtıcı derecede zayıf önlemler aldıktan yalnızca birkaç hafta sonra Apple ile ortaklık kurup akıllı telefonlardaki varsayılan AI agent pazarının neredeyse %100’ünü Google tabanlı hale getirdi
    • Google e-postada bu kadar tekel durumundaysa, çevrimiçi başka herhangi bir ücretsiz ya da ücretli e-posta hizmeti kullanmak mümkün değil mi

  • Kısa süre önce küçük bir işletmenin Google Workspace hesap kurulumuna yardım ettim ve kayıt sürecinde duvara tosladık
    Google daha kayıt aşamasında bu kadar zorlayıcıysa, ileride müşterinin işi buna bağlıyken hesap kilitlenirse ne olur diye sahiplerine söyledim. Google hesap kilitlenmesi korku hikâyelerinden birkaçını gösterdim ve sonunda başka bir iş amaçlı işbirliği çözümü seçtiler

    • Business Standard’dan Business Plus’a yükseltmeye çalışırsanız, Google yükseltme sırasında 24 saate kadar Workspace depolamasını kullanıcı başına 2TB’den 0 bayta düşürüyor
      Destek ekibinden gelen gerçek yanıt şuydu: “Kontrol ettiğimde Business Standard’dan Business Plus’a yükseltilmiş görünüyor ve depolama alanı 0 bayt olarak görüntüleniyor. Endişelenmenize gerek yok, bu tamamen normal.”
      Ayrıca, “Abonelik yükseltilirken arka uç sisteminin önce mevcut Business Standard depolama tahsisini ayırması, ardından yeni Business Plus kotasını tahsis etmesi gerekiyor; bu geçiş süresinde kota geçici olarak varsayılan şekilde 0’a düşüyor” dendi
      Son olarak kullanıcı depolama sınırını ya da paylaşılan sürücü depolama sınırını açıp 5 dakika sonra kapatmamı söylediler, ama depolama kotasını daha hızlı sıfırlatmaya yönelik bu girişim işe yaramadı ve sonuçta saatler sürdü
    • Bu yüzden yönettiğim tüm alan adlarını Gmail’den taşıma planına başladım. Gmail ürün olarak gerçekten iyileşmiyor, istemediğimiz ve ihtiyaç duymadığımız şeyleri üst pakete satmaya çalışırken giderek daha da can sıkıcı hale geliyor
      Her yıl biraz daha kötü oluyor. Gmail’in ölçeği o kadar büyük ki ücretli kullansanız bile destek alma ihtimaliniz neredeyse yok ve bu risk taşınamayacak kadar büyük
    • “Kayıt sürecinde duvara tosladık” ile tam olarak ne kastedildiğini merak ediyorum. Bu yazıdaki QR kod tarayıp mesaj gönderme meselesi mi, yoksa başka bir sorun mu
    • 2013’ten beri oldukça memnun şekilde kullanıyordum
      Ama son 1 yıldır çalışanlardan, kullanmak istemedikleri AI ile ilgili açılır pencerelerin can sıkıcı olduğuna dair şikâyetler duymaya başladım
    • Bunun yerine ne kullandığınızı merak ediyorum. Komşunun çimi hep daha yeşil görünür derler
      Yine de Microsoft’un üründe daha kötü olup destekte daha iyi olabilmesi şaşırtıcı değil

  • Az önce kayıt akışını bizzat denedim ve QR kod gerekmiyordu. Yıllardır aynı olan prosedürün aynısıydı
    Kişisel/çocuk/iş seçimi, ad girme, e-posta seçimi, doğum tarihi, kurtarma e-postası ya da atla, şifre, telefon numarası girme, iki adımlı doğrulama kodu kontrolü ve tamamlanma sırasındaydı
    testregistrationflow@gmail.com hesabını oluşturdum ve şifreyi zaten unuttum, yani bir hesabı yakmış oldum. testregistrationflow1@gmail.com ile QR kod olmadan olup olmadığını siz de deneyebilirsiniz
    Başlığın, çok sayıda Gmail hesabını programatik olarak oluşturmaya çalışan insanlar için geçerli olan belirli bir akışı yanlış genellediği açık

    • Muhtemelen bu gereklilik, Google’ın kullanıcıyı ne kadar güvenilir gördüğüne bağlı olarak devreye giriyor. Linux kullanmak, Firefox kullanmak, VPN kullanmak gibi unsurlar etkili olabilir
    • İki adımlı doğrulamada kullanılan telefon numarası “çok fazla kullanıldı” durumuna gelirse kayıt sırasında ortada kalabilirsiniz
      Belgelenmiş bir sınır görünmüyor ve insanların bulduğu tek çözüm başka birinden telefon numarasıyla doğrulamaya yardım etmesini istemek
      Daha zoru ise mevcut hesaptan çıkış yapıldığında oluyor. Tekrar giriş yapmak istediğinizde iki adımlı doğrulama için telefon numarası istiyor; ilk kayıt doğrulamasında kullandığınız aynı numarayı girseniz bile o numaranın çok sık kullanıldığı gerekçesiyle başarısız oluyor
      Böyle olunca var olan meşru hesaba da giriş yapamıyorsunuz. Elbette başka iki adımlı doğrulama yöntemleri ya da passkey eklemiş olmalıydınız ama ilk kullandığınız numarayla neden yeniden doğrulama yapılamadığını anlamak zor
      Üstelik başka Google hizmetlerine kaydolurken hesap doğrulama amaçlı iki adımlı doğrulamada Google Voice numarası da kullanamıyorsunuz
    • Belki de Gmail’in ilk çıktığı dönemdeki sadece davetiyeyle kayıt yöntemine geri dönmek daha iyi olur
      Her hesabın yeni hesap davet edebilme sayısını küçük ve sınırlı tutmak, dolandırıcıları durdurmanın bir yolu olabilir
    • Telefonda Google hizmetleri üzerinden hesap oluşturursanız telefon numarasına bile gerek olmuyor
    • Bugün hem Google QR güvenlik doğrulamasına hem de geleneksel güvenlik doğrulamasına rastladım. Kademeli olarak devreye alıyorlar

  • “QR kod taramanız gerekiyor” ifadesi, tren kapısını açmak için QR kod taramanız gerektiğini söyleyip asıl gerekliliğin ücretlendirme için telefonu ödeme bilgileriyle ilişkilendirmek olduğunu atlamaya benziyor
    Google’ın burada doğruladığı şey, veri matrisini bayta dönüştürebilme yeteneği değil

  • Bu tür şeyler bir “güvenlik” değişikliği gibi görünüyor ama aynı zamanda mahremiyeti koruyan iş akışlarını epey ortadan kaldırmak için de çok elverişli görünüyor

    • Bence de tam olarak öyle. Tam gözetim, insanların zorla takip tasması takmasıyla çalışır
      Bir sonraki adım bunun, cüzdana erişim için telefon numarası gerektiren merkez bankası dijital parasıyla bağlanması ve hareket kısıtlamaları için gerçek kimlik ya da pasaportla ilişkilendirilmesi olabilir
      İki adımlı doğrulama, mahremiyeti paramparça eden bir kama haline geldi
    • Google gereksinimlerini aşmak için geçici hesap etkinleştirme telefon numarası sunan çevrimiçi hizmetler var ama çoğu yalnızca mesaj alabiliyor
      Kullanıcının SMS göndermesini istemek, bu tür hizmetleri devre dışı bırakıp botların artık kullanamamasını sağlamanın harika bir yolu gibi görünüyor
      Google hesaplarında mahremiyeti koruyan bir akışın ne ifade ettiği de çok net değil. Google, telefon numaranızı bilmeden de sizi takip edebiliyor