Instagram profilime kim baktı? Instagram kullanıcılarının sıklıkla sorduğu sorular arasında. Instagram, profilinizi kimlerin görüntülediğini kontrol etmenizi sağlayan bir özellik sunmuyor; neden, tahmin edeceğiniz üzere kullanıcı gizliliği. Instagram profilime bakanlar kim? merak edenler için uygulama içinden bir seçenek sunmuyor ancak platform, profilinize bakanları kontrol etmek için ihtiyaç duyacağınız tüm verilere sahip. Bu, kullanıcı etkileşiminde önemli bir düşüşe yol açabileceğinden sizinle paylaşmıyor.
Çok sayıda Instagram kullanıcısı, profillerinde herhangi bir paylaşım yapmadan sadece başka profillere bakarak vakit harcıyor. Instagram’ın bu kullanıcıların hareketlerine ilişkin verileri yayınlaması demek, kullanıcı kaybı demek. Bu kullanıcılar, Instagram’da diğer kişilerle etkileşimde olmasalar bile herkesle eşit sayıda reklamla karşılıyorlar. Stalker olarak geçen bu kullanıcıları görmenin yolunu arıyor, Instagram profilime kim baktı nasıl öğrenebilirim? diye soruyorsanız, işte stalkerları görme yöntemleri:
Instagram hesabıma kim baktı, öğrenmenin bir yolu var mı? Instagram profiline bakanlar nasıl görülür ücretsiz? gibi pek çok soru maalesef platformda stalkerların sayısının bir hayli fazla olmasından kaynaklı sıklıkla soruluyor Hem Android hem de iOS platformunda, Instagram profilinize gizlice bakanları (stalkerları) öğrenmenize yardımcı birçok uygulamaya rast geleceksiniz. Bu tür uygulamalar çalışmamakla birlikte güvenli değil. Instagram hesabınıza erişim sağlayarak insta stalkerları bulacağını iddia eden mobil uygulamaları kesinlikle yüklemeyin.
Instagram profile bakanlar hemen öğrenin! vb. açıklamalarla kullanıcıların ilgisini çekmeye çalışan bu tür uygulamaların çalışmasının arkasındaki sebep oldukça basit. Instagram’ın veri politikası, yalnızca kullanıcının adını, Instagram kullanıcı adını, biyografisini, profil fotoğrafını ve e-posta adresini üçüncü parti uygulamalarla paylaştığını açıkça belirtir. Ek olarak, Instagram, herhangi bir uygulamanın API’ye izinsiz erişmesine izin vermez.
Para karşılığında veya bazen hesap bilgilerinizi isteyerek Instagram profilinizi kimin görüntülediğini size söyleyebileceğini iddia eden dolandırıcılar var. Bu tür sahte iddialardan kaçının ve Instagram’ın kimsenin görmesine izin vermediği bilgilere eriştiğini iddia eden insanlara para ödemeyin. Instagram profilime kim baktı uygulamaları doğru mu, gerçek mi? sorusunu kısaca hayır olarak yanıtlayıp profile bakanları bulmanın güvenli yoluna geçebiliriz.
Instagram sayfamı kim ziyaret etti, öğrenebilir miyim? diye soranlar için; Instagram, kullanıcıların profillerini kimlerin ziyaret ettiğini kontrol edebilmelerini sağlayan bir özellik sunmuyor ancak kullanıcıların hikayelerini kimlerin görüntülediğini görmelerini sağlayan bir özelliğe sahip. Bu özelliği profilinizi en son kimlerin ziyaret ettiğini kontrol etmek için kullanabilirsiniz.
Tek yapmanız gereken, hikayenizin sol alt köşesinde sıralanmış profil resmi simgelerine dokunmak. Sizi takip etmeyen kullanıcılar da dahil tüm kullanıcıların bir listesini göreceksiniz. Instagram hikayeler 24 saat içinde silindiğinden, profilinize kimlerin baktığını sonradan görebilmek için öne çıkanlar listesine ekleyebilirsiniz.
Instagram işletme hesabını kullanarak da Instagram profilinizi kimlerin görüntülediğini görebilirsiniz. Instagram işletme hesabı, sayfanızı kimlerin ziyaret ettiğine ilişkin önemli bilgilere erişmenizi sağlar. Profesyonel hesapla profilinizi ziyaret eden kullanıcıların konumları, yaş aralığı, cinsiyetleri, çevrimiçi oldukları zaman dahil birçok bilgiye erişebilirsiniz. Ancak profilinize bakanların adlarını göremezsiniz. Instagram hesabınızı işletme (profesyonel) hesaba kolayca dönüştürebilirsiniz.
Instagram profilime kim baktı uygulamaları oldukça popüler ve gerçekten işe yaradığına dair yorumların sayısı bir hayli fazla. Instagram profile bakanları görme yolu ücretsiz olarak yalnızca Instagram hikayeler üzerinden mümkün, uygulamalarla değil. Instagram hikayelerinizi ve öne çıkardığınız gönderileri görüntüleyenleri görebiliyorsunuz. Hesabınızı profesyonel hesaba dönüştürerek profilinizi ziyaret eden kullanıcılar hakkında detaylı bilgi de alabiliyorsunuz. Instagram profilinize kimlerin baktığını bilmemek sizi çok rahatsız ediyorsa, Instagram hesap gizleme seçeneğini düşünebilirsiniz.
seafoodplus.info Eposta ile Paylaşın başlıklı bu arkadaşınıza postalayıseafoodplus.info haberi, mobil uygulamamızı kullanarak indirip,If you are looking for an English version of this article, please visit here.
23 Eylül tarihinde Twitterda siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz gezdirmeye karar verdim. Paylaşan hesaplardan birinin yazmış olduğu mesajda, Web Postegro & Lili isimli bir Android uygulamasının profil görüntüleyenleri gösterdiğinden bahsediyordu.
LinkedIn hariç Twitter, Facebook, Instagram gibi sosyal ağların, profil görüntüleyenlerin bilgisini kullanıcıları ile paylaşmadığını bildiğim için bu tür bir uygulamalara her zaman şüpheyle yaklaşmışımdır. Şüphelerim konusunda haklı olup olmadığımı anlamak için bu Android uygulamasını indirip analiz etmeye ve farkındalık adına kaleme almaya karar verdim.
İlk olarak Web Postegro & Lili Android uygulamasının Google Playdeki sayfasını incelemekle işe başladım. 24 Eylül itibariyle den fazla yüklenen bu mobil uygulamanın kullandığı izinlere baktığımda beni şüphelendiren bir izin ile karşılaşmadım. Yorumlara göz attığımda ise bazı kullanıcıların hesaplarına yurtdışından giriş yapıldığına dair şüpheli yorumlar gördüm. Geliştiricinin yanıtladığı yorumlardan birinde güvenlik politikasında yurt dışından bağlantı yapıldığının ifade edildiğini belirtmesine rağmen buna dair politikada herhangi bir kısım göremedim.
Google Play sayfasından ön bilgileri topladıktan sonra APKPure sitesinden Web Postegro & Lili uygulamasını analiz etmek için indirdim ve APK dosyasını VirusTotala yüklediğimde bu uygulamanın zararlı olduğuna dair herhangi bir ize rastlamadım.
Ardından bu uygulamayı GenyMotion öykünücüsüne yükleyip, favori araçlarından biri olan Charles Proxy yardımı ile çalışma esnasında gerçekleştirdiği HTTP trafiğini kayıt altına almaya başladım. Uygulamanın haberleştiği payingpos[.]xyz web sunucusundan gelen ilk yanıtta, uygulama geliştiricisine ait olan seafoodplus.info Instagram hesabını gördüm. Hesabında paylaştığı fotoğraflardan birinde Google Playden daha önce bu uygulamanın kaldırıldığını paylaşması dikkatimden kaçmadı. Instgram hesabında yer alan ve alan adı 5 Eylül tarihinde kayıt edilen web adresini ziyaret ettiğimde, Web Postegro & Lili uygulamasını (apk) direkt web sitelerinden indirebildiğimi öğrendim.
Charles Proxy ile kayıt altına alınan trafiği incelediğimde, Web Postegro Lili (Web Postegro Lili_v_seafoodplus.info) uygulamasının kullanım esnasında payingpos[.]xyz, webpostegro[.]net ve postegro[.]net sunucuları ile haberleştiğini gördüm.
apk isimli APK dosyasını da VirusTotala yüklediğimde benzer şekilde zararlı olduğuna dair bir uyarı ile karşılaşmadım. Web Postegro Lili (apk) uygulamasının kullanım esnasında postegro[.]com, imagecropper[.]com, postegro[.]net ve de kapalı olan postegro[.]com sunucuları ile haberleştiğini gördüm. postegro[.]com adresi çalışmadığı için Web Postegro Lili (apk) uygulamasının profillere bakma, profile bakanları gösterme gibi genel fonksiyonları çalışmıyordu dolayısıyla analizime Web Postegro Lili (Web Postegro Lili_v_seafoodplus.info) uygulaması üzerinden devam ettim.
Web Postegro Lili uygulaması çalıştığında karşıma profili gizli olanlara bakma (Hesaplara bak) ve profiline bakanları görmeye (Bana kim baktı) imkan tanıyan menüler geldi. Hesaplara bak menüsüne tıkladığımda uygulama kendi arayüzünden seafoodplus.info sunucusu ile haberleşerek Instagram kullanıcı adı ve parolasının girildiği giriş sayfasını karşıma çıkardı. Bu araştırmaya özel olarak oluşturduğum osmantosman24 Instagram kullanıcı adım ve parolam ile giriş yapar yapmaz uygulamanın arka planda seafoodplus.info sunucusu ile doğrulama sonrasında oluşan oturum bilgilerimi cookie parametresi ile payingpos[.]xyz adresine gönderdiğini ve bu ve daha fazla bilgimi /data/data/seafoodplus.infostego/shared_prefs/seafoodplus.infostego_seafoodplus.info dosyasına kayıt ettiğini tespit ettim!
Uygulamayı kullanabilmem için en az 10 kişinin beni veya benim 10 kişiyi takip etmem gerektiği için hızlıca takibe takip yapan Instagram hesaplarını takip etmeye başlayarak onların da beni takip etmesini sağladım. Takipçi sayımı arttırıp, takip ettiğim tüm hesapları takip etmeyi bıraktıktan sonra uygulamanın menüleri arasında gezmeye başladım ve profili genele kapalı, gizli olan hesapların içeriğini görüntüleyebildim. Görünüşe göre bu uygulama gelirini, uygulama üzerindeki limitlerin (reklam kaldırma, hikayeleri sınırsız görüntüleme, hesaplara sınırsız bakma, profil görüntüleyenlerin isimlerinin sansürsüz görünmesi gibi) belirli bir ücret karşılığında kaldırılması ile sağlıyordu.
Normal şartlarda güvenli mimariye sahip bir uygulama sizin Instagram bilgilerinize erişmek istediğinde yetkilendirme işlemi için Oauth protokolünden faydalanır ve sizden onay ister fakat Web Postegro Lili uygulamasında kullanıcıdan izin, onay isteyen bir kısım bulunmuyordu. Bu durumda bu uygulamanın gizli profilleri görüntülemeye, profilleri görüntüleyenleri listelemeye imkan tanıyabilmesi için uygulama üzerinden Instagrama giriş yapan kullanıcılara ait oturum bilgileri ile Instagram sunucularına bağlanıp tüm bu kullanıcılara ait hesapların bilgilerine sürekli erişmesi gerekiyordu. (session hijack) Bu yöntemi izlediğini anlamak için Web Postegro Lili uygulamasının payingpos[.]xyz adresine cookie parametresi ile gönderdiği oturum bilgilerinin Instagram hesabıma erişme adına yeterli olduğunu anlamak için Burp Suite ile VPN üzerinden bir test gerçekleştirdim. Web Postegro Lili uygulaması üzerinden Instagrama tekrar giriş yaparak uygulamanın sunucuya gönderdiği yeni oturum bilgileri ile Burp Suite üzerinden Instagram hesabımın Login Activity sayfasına (seafoodplus.info) istekte bulunduğumda başarıyla sunucudan yanıt alabildiğimi gördüm! Instagram tarafında hesabına bu şekilde erişenleri anlamamın bir yolu var mı diye Login Activity sayfasına tekrar baktığımda maalesef VPN ile yurt dışından yaptığım erişim görünmüyordu!
Facebookun güvenlik ekibine bu durumu yukarıdaki ekran görüntüleri ile adım adım, çok defa anlatmış olmama rağmen maalesef en basit dolandırıcılık senaryosuna karşı yapmaları gerekenin ne olduğunu (5 dakika içinde Instagram hesabına önce bir ülken daha sonra ise başka bir ülkeden giriş yapılıyorsa kullanıcıyı uyarılır, Login Activity sayfasında hangi ülkeden bağlantı kurulduysa gösterilir vb.) bir türlü anlayamadılar.
Hesabımın kontrolünü geri kazanmak ve Web Postegro Lili uygulamasından çıkış yaptıktan sonra geliştiricinin hesabıma erişiminin devam edip etmediğini öğrenmek için Instagram hesabıma Windows üzerinden erişip takip ettiğim kişilerin sayısını 1 arttırdım. Ardından webpostegro[.]net sunucusundan kullanıcıma ait güncel bilgileri getirmesini istediğimde takip etmeye başladığım son kullanıcının bilgilerini de getirebildiğini, kısaca erişiminin devam ettiğini gördüm!
Web Postegro Lili uygulamasının ve geliştiricisinin Instagram hesabıma, oturumuma olan erişimlerini nasıl engelleyebilirim diye düşünürken Instagram parolamı değiştirmenin işe yarayıp yaramayacağına bakmaya karar verdim ve parolayı değiştirir değiştirmez hesabıma erişemediklerini webpostegro[.]net üzerinden teyit etmiş ve araştırmamı burada sonlandırmış oldum.
Yaptığım araştırmayı kısaca özetleyecek olursam;
Naçizane tavsiye olarak kullandığınız bir sosyal ağ, medya uygulamasının özellikleri arasında profilinizi görüntüleyenleri gösterme gibi hayal ettiğiniz bir özellik bulunmuyorsa, bunu yaptığını vaadeden bir kişi, uygulama, web sitesi vb. ile karşılaştığınızda kullanmadan, güvenmeden önce arka planda hangi bilgilerinizi feda edebileceğinizi hatırlamanızda fayda olacaktır.
Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.
Show this post in PDF format