KFN Haberleri: X'te (Twitter) YubiKey Fiyaskosu! Milyonlarca Kullanıcı Kilitlendi!
Dijital güvenlik dünyasının en ironik krizlerinden biri dün gece (13-14 Kasım 2025) yaşandı. X (eski adıyla Twitter), platformundaki İki Faktörlü Kimlik Doğrulama (2FA) sisteminde meydana gelen kritik bir sunucu hatası nedeniyle, en güvenli doğrulama yöntemini kullanan milyonlarca kullanıcısını platformdan kilitledi. Güvenliklerini "altın standart" olarak kabul edilen YubiKey (ve diğer FIDO/WebAuthn donanım anahtarları) ile sağlayan gazeteciler, siyasetçiler, kripto para yatırımcıları ve güvenlik uzmanları, bir anda kendi hesaplarına erişemez hale geldi.Bu fiyasko, "en güvende" olması gereken kullanıcıların, bizzat platformun güvenlik altyapısındaki bir hata nedeniyle "cezalandırıldığı" trajikomik bir durum yarattı. Saatler süren küresel kaos, X'in mühendislik ekibinin güvenlik protokollerini acil durum modunda devre dışı bırakmasıyla (ironik bir şekilde güvenliği daha da azaltarak) anca aşılabildi. Peki, bu devasa kriz nasıl patlak verdi ve X'in itibarı bu enkazın altından nasıl kalkacak?
Güvenliğin Zirvesi Nasıl Bir Tuzağa Dönüştü?
Bu olayı bu kadar "fiyasko" yapan şey, etkilenen kitlenin kimliğiydi. İki Faktörlü Kimlik Doğrulama (2FA), bir hesabı korumanın temel taşıdır. Çoğu kullanıcı SMS veya Google Authenticator gibi yazılımsal uygulamaları kullanırken, "güvenlik takıntılı" profesyoneller FIDO2/WebAuthn standardını kullanan YubiKey gibi fiziksel USB/NFC anahtarlarını tercih eder.Bu anahtarlar, "phishing" (oltalama) saldırılarına karşı %100'e yakın koruma sağlar çünkü şifrenizi çalan bir hacker, fiziksel olarak o USB anahtara sahip olmadan hesabınıza asla giremez. X platformu da, özellikle "Premium" (Blue) aboneleri için bu gelişmiş güvenlik yöntemini şiddetle tavsiye ediyordu.
Sorun, 13 Kasım'ı 14 Kasım'a bağlayan gece, X'in kimlik doğrulama (authentication) sunucularına yaptığı sessiz bir yazılım güncellemesiyle başladı.
Hatanın Anatomisi: "Geçersiz Anahtar"
Dün gece yarısından itibaren, YubiKey kullanarak giriş yapmaya çalışan kullanıcılar, normalde çalışan fiziksel anahtarlarını taktıklarında "Bu güvenlik anahtarı tanınmıyor" veya "Geçersiz kimlik bilgisi" hatasıyla karşılaşmaya başladı.Tek 2FA yöntemi olarak YubiKey belirlemiş olan (ve SMS gibi daha az güvenli yöntemleri kapatmış olan) milyonlarca kullanıcı, bir anda kendi hesaplarının dışında kilitli kaldı. Yedek kodları olmayanlar için durum tam bir kabustu; hesaplarına erişmenin hiçbir yolu kalmamıştı.
Teknik analizler, sorunun kullanıcılarda veya YubiKey'lerde olmadığını, X'in sunucu tarafındaki bir "imza doğrulama" (signature verification) protokolü hatasından kaynaklandığını gösterdi. X'in yeni yazılımı, FIDO standardındaki geçerli güvenlik imzalarını "geçersiz" olarak damgalıyordu.
Çözüm, Sorundan Daha İronikti: Güvenliği Devre Dışı Bırakmak
Saatler süren ve X'in (ironik bir şekilde) kendi "Destek" hesabından bile duyurmakta geciktiği kriz, mühendislerin acil müdahalesiyle çözüldü. Ancak bulunan çözüm, "hatayı düzeltmek" olmadı.X ekibi, kilitli kalan milyonlarca kullanıcıyı içeri alabilmek için, YubiKey doğrulama protokolünü sunucu tarafında geçici olarak tamamen devre dışı bırakmak zorunda kaldı. Bu, o saatlerde hesabı YubiKey ile korunan herkesin, bu koruması yokmuş gibi (sadece şifreyle) giriş yapabildiği veya "şifremi unuttum" diyerek hesabı e-posta yoluyla kurtarabildiği anlamına geliyordu.
Kısacası, X; en güvenli kullanıcılarını içeri alabilmek için, bu kullanıcıların güvenliğini geçici olarak en alt seviyeye indirmek zorunda kaldı.
Fiyasko Sonrası: Güven Kaybı ve Altyapı Sorunları
Bu olay, Elon Musk'ın 2022'de şirketi devralmasından bu yana mühendislik ekibinin büyük bir kısmını işten çıkarmasının ardından yaşanan en büyük altyapı krizlerinden biri olarak kayıtlara geçti. Güvenlik gibi kritik bir alanda, FIDO gibi evrensel bir standardı bozan bir güncellemenin, yeterli test yapılmadan (veya "canlıda test edilerek") yayına alınması, platformun ne kadar kırılgan hale geldiğini gösterdi.Kullanıcılar şimdi X'ten iki şey talep ediyor: Birincisi, bu fiyaskonun bir daha asla yaşanmayacağının garantisi. İkincisi ise, (Google gibi) birden fazla 2FA yöntemini (örneğin hem YubiKey hem de Authenticator uygulamasını) aynı anda "yedekli" olarak ekleyebilme imkanı.
X, en sadık ve en güvenlik bilincine sahip kullanıcılarının güvenini sarstı. Bu güveni nasıl geri kazanacakları ise 2026'nın en büyük sınavı olacak.
Siz de bu YubiKey krizine yakalandınız mı? Güvenliğinizi sağlamak için bir şirkete bu kadar güvenirken, o şirketin hatası yüzünden kilitli kalmak ne hissettirir? Bu olay, X'e (Twitter) olan güveninizi sarstı mı? Yorumlarınızı bekliyoruz!
