Ekran Görüntüsü Güvenliği: Hassas Bilgiler Nasıl Korunur?

Paylaştığınız her ekran görüntüsü potansiyel bir veri ifşasıdır. Görünür bir API anahtarı içeren bir hata raporu. Bir müşterinin e-posta adresini içeren bir destek bileti. Altyapınızı ortaya çıkaran dahili URL'ler içeren bir Slack mesajı. Bir geliştiricinin kişisel hesabının açık olduğu bir dokümantasyon ekran görüntüsü.

Ekran görüntüleri o kadar hızlı alınır ki, güvenlik inceleme adımı genellikle atlanır. Yakalarsınız, paylaşırsınız ve ancak daha sonra aslında yakalamaya çalıştığınız iletişim kutusunun arkasındaki terminalde veritabanı bağlantı dizesinin görünür olduğunu fark edersiniz.

Bu kılavuz, ekran görüntüsüyle ilgili veri ifşalarını önleyen pratik güvenlik önlemlerini kapsar: neye dikkat etmeli, nasıl etkili bir şekilde gizlemeli, nerede güvenli bir şekilde barındırmalı ve güvenliği sonradan akla gelen bir şey olmaktan çıkarıp kolaylaştıran araçlar nelerdir.

Ekran Görüntülerindeki Yaygın Veri İfşaları

Bunlar, güvenlik olay raporlarına ve yaygın kalıpların analizimize dayanarak ekran görüntülerinde en sık sızdırılan veri türleridir:

Kimlik Bilgileri ve Token'lar

• Kod düzenleyicilerinde, terminal çıktısında veya yapılandırma panellerinde görünen API anahtarları
• Gömülü parolalar içeren veritabanı bağlantı dizeleri
• Tarayıcı geliştirici araçlarında OAuth token'ları
• Terminal oturumlarında görünen SSH anahtarları veya sertifika içerikleri
• İşlem listelerinde veya hata ayıklama çıktısında gösterilen ortam değişkenleri

Kişisel Tanımlanabilir Bilgiler (PII)

• Kullanıcı listelerinde, gelen kutularında veya bildirim panellerinde e-posta adresleri
• Uygulama arayüzlerindeki tam adlar ve profil resimleri
• İletişim formlarındaki veya kullanıcı profillerindeki telefon numaraları
• Gönderim veya faturalandırma arayüzlerindeki fiziksel adresler
• Sunucu günlüklerindeki veya ağ tanılama çıktısındaki IP adresleri

Dahili Altyapı Detayları

• Dahili URL'ler ve alan adları (hazırlık ortamlarını, yönetici panellerini ortaya çıkaran)
• Terminal istemlerindeki veya tarayıcı adres çubuklarındaki sunucu ana bilgisayar adları ve IP adresleri
• Dahili araçların ve kütüphanelerin sürüm numaraları (hedefli saldırılar için faydalı)
• Dosya yollarını ve uygulama yapısını ortaya çıkaran hata yığın izleri
• Sorgu sonuçlarındaki veritabanı tablo adları ve sütun adları

İş Hassasiyetine Sahip Bilgiler

• Gelir rakamları, fiyatlandırma verileri veya finansal panolar
• Müşteri listeleri veya anlaşma hattı verileri
• Geliştirme ortamlarında görünen yayınlanmamış ürün özellikleri
• Arka plan pencerelerinde yakalanan dahili iletişim (Slack mesajları, e-posta yazışmaları)

Ekran Görüntüsü Güvenlik Kontrol Listesi

Herhangi bir ekran görüntüsünü (hata raporu, dokümantasyon, destek bileti, Slack mesajı veya sosyal medya gönderisi olarak) paylaşmadan önce, şu öğeleri tarayın:

1. Tarayıcı adres çubuğu — Dahili URL'ler, hazırlık ortamları veya yönetici paneli yolları gösteriyor mu?
2. Terminal/konsol — Ortam değişkenleri, bağlantı dizeleri veya kimlik doğrulama belirteçleri görünür durumda mı?
3. Arka plan pencereleri — Hedef pencerenizin arkasında kısmen görünen bir Slack konuşması, e-posta veya dahili belge var mı?
4. Kullanıcı verileri — Yakaladığınız kullanıcı arayüzünde e-posta adresleri, adlar veya diğer kişisel tanımlayıcı bilgiler (PII) görünür durumda mı?
5. Bildirim açılır pencereleri — Yakalama sırasında kişisel bilgiler içeren bir sistem bildirimi belirdi mi?
6. Yer imleri çubuğu — Tarayıcı yer imleriniz dahili araçları veya özel URL'leri ortaya çıkarıyor mu?
7. Görev çubuğu — Üzerinde çalıştığınız şeyi gösteren açık uygulamalar görünür durumda mı?

Bilgileri Etkili Bir Şekilde Nasıl Gizlersiniz?

Bulanıklaştırma ve Kara Kutular

İki yaygın bilgi gizleme yöntemi, bulanıklaştırma (pikselleştirme) ve düz renkli kaplamadır (genellikle siyah dikdörtgenler). Her ikisi de işe yarar, ancak farklı amaçlara hizmet eder:

Bulanıklaştırma/Pikselleştirme daha güvenli bir varsayılan yöntemdir. İçeriğin var olduğunu ancak kasıtlı olarak gizlendiğini gösterir. Okuyucu, o noktada bir e-posta adresi, bir URL veya bir kimlik bilgisi olduğunu anlar. Gerçek verileri gizlerken ekran görüntüsünün görsel bağlamını korur.

Kara kutular tüm görsel bilgiyi tamamen kaldırır. Bunları, gizlenen içeriğin uzunluğunun veya biçiminin bile anlamlı olabileceği yüksek hassasiyetli veriler için kullanın. Örneğin, bir API anahtarını bulanıklaştırmak anahtarın yaklaşık uzunluğunu hala gösterirken, bir kara kutu hiçbir şey göstermez.

Uyarı: Yarı saydam kaplamalar kullanmayın. Bazı görsel düzenleyiciler varsayılan olarak yarı saydam şekiller kullanır. Bunlar, parlaklık ve kontrast ayarlanarak geri döndürülebilir. Her zaman tamamen opak bilgi gizleme kullanın.

Maxisnap'in Bulanıklaştırma Aracını Kullanma

Maxisnap tek bir tuş vuruşuyla erişilebilen bir pikselleştirme bulanıklaştırma aracı içerir (B) açıklama düzenleyicisinde. Bulanıklaştırma aracını seçin, hassas alanın üzerine sürükleyin ve içerik tanınmayacak şekilde pikselleştirilir. Bulanıklaştırma doğrudan piksellere uygulanır — geri döndürülebilir bir kaplama değildir.

En iyi uygulama: bulanıklaştırdıktan sonra %100 yakınlaştırın ve bulanık alanın gerçekten okunaksız olduğunu doğrulayın. Kısa metin dizileri (4 haneli kodlar gibi) orta düzeyde pikselleştirmeden sonra bile bazen kısmen tanınabilir kalabilir. Bunlar için birden fazla bulanıklaştırma geçişi veya siyah bir dikdörtgen kullanın.

Meta Verileri ve EXIF Verileri

Ekran görüntüleri, paylaşmayı düşünmediğiniz bilgileri ortaya çıkaran meta veriler içerebilir:

• Oluşturma zaman damgası — Ekran görüntüsünün tam olarak ne zaman çekildiğini gösterir
• Yazılım sürümü — Yakalama için kullanılan aracı ve sürümü tanımlar
• Görüntü bilgileri — Ekran çözünürlüğü, DPI ve renk profili verilerini içerebilir
• İşletim sistemi — Dosya meta verilerine gömülüdür

Çoğu profesyonel ekran görüntüsü için bu meta veriler zararsızdır. Ancak anonimliğin önemli olduğu durumlarda (ihbarcılık, güvenlik araştırması, rekabet istihbaratı), meta veriler kaynağı tanımlayabilir. Paylaşmadan önce bir görsel düzenleyicinin "web için kaydet" seçeneğini veya ExifTool gibi bir aracı kullanarak meta verileri kaldırın.

PNG dosyaları (Maxisnap dahil çoğu ekran görüntüsü aracının varsayılan formatı), JPEG dosyalarından daha az meta veri içerir. Ekran görüntülerinde telefon fotoğraflarındaki gibi GPS verileri bulunmaz. Ancak oluşturma zaman damgası ve yazılım tanımlaması hala mevcuttur.

Güvenli Ekran Görüntüsü Barındırma

Ekran görüntülerinizi nerede barındırdığınız, içerdikleri kadar önemlidir. Güvenliğe göre sıralanmış yaygın barındırma seçenekleri:

Kendi Sunucunuz (En Güvenli)

Yükleme yöntemi: Kendi sunucunuza SFTP. Erişimi, saklamayı, şifrelemeyi ve dosyaları kimlerin görüntüleyebileceğini siz kontrol edersiniz. Maxisnap, SFTP, FTP, S3 uyumlu depolama ve HTTP POST yüklemesini destekler; bunların hepsi sizin kontrolünüzdeki altyapıya işaret eder.

Özel Bulut Depolama (Orta Düzey Güvenlik)

Erişim denetimleriyle S3 bucket'ları, Google Cloud Storage veya Azure Blob Storage. Varsayılan olarak herkese açık değildir ve erişim politikalarını siz kontrol edersiniz. Kendi sunucularını çalıştırmak istemeyen ancak yönetilen altyapı arayan ekipler için iyidir.

Ekran Görüntüsü Aracı Bulut Hizmetleri (Değişken Güvenlik)

Monosnap, Zight ve benzeri araçlar ekran görüntülerini kendi bulutlarında barındırır. Verileriniz, başkasının hizmet şartları altında, başkasının sunucusunda yaşar. Veri saklama, erişim ve silme sağlayıcı tarafından kontrol edilir. Hassas ekran görüntüleri için bu bir risktir. Daha fazla bilgi için Maxisnap ve Monosnap karşılaştırmamızı okuyun yükleme ve gizlilik farklılıkları hakkında sayfamıza bakın.

Herkese Açık Resim Barındırıcıları (En Az Güvenli)

Imgur, prnt.sc (Lightshot) ve benzeri herkese açık galeriler. Yüklemeler genellikle herkese açıktır, URL'ler tahmin edilebilir olabilir ve silme üzerinde sınırlı kontrolünüz vardır. Lightshot'ın prnt.sc'si özellikle sorunludur çünkü kısa URL'leri otomatik komut dosyaları tarafından tahmin edilebilir. Hassas ekran görüntülerini asla herkese açık barındırıcılara yüklemeyin.

Ekran Görüntüsü Güvenliği İçin Ekip Politikaları

Kuruluşlar için ekran görüntüsü güvenliği, bireysel bir yargı kararı değil, belgelenmiş bir politika olmalıdır. Önerilen ekip politikaları:

Zorunlu karartma kontrolü. Herhangi bir ekran görüntüsü herkese açık bir soruna, bilgi tabanı makalesine veya harici bir iletişime eklenmeden önce, yazar hassas verilerin görünür olmadığından emin olur. Bu 5 saniye sürer ve olayları önler.

Standartlaştırılmış bulanıklaştırma aracı. Her ekip üyesinin bulanıklaştırma/pikselleştirme özelliğine sahip bir ekran görüntüsü aracı olmalıdır. Bulanıklaştırma özelliği olmayan araçlar (Lightshot gibi) profesyonel ekran görüntüleri için kullanılmamalıdır.

Özel yükleme hedefi. Ekip ekran görüntüleri, herkese açık galerilere değil, şirket kontrollü altyapıya yüklenmelidir. Maxisnap'in SFTP ve S3 yükleme seçenekleri bunu kolaylaştırır.

Dokümantasyon için temiz ortamlar. Dokümantasyon veya pazarlama için ekran görüntüleri oluştururken, sentetik verilerle özel demo hesapları kullanın. Gerçek müşteri verisi yok, gerçek kimlik bilgileri yok, dahili URL'ler yok. Teknik yazım rehberimiz bunu ayrıntılı olarak ele almaktadır.

Güvenliği Kolaylaştıran Araçlar

En iyi güvenlik uygulamaları, ekstra çaba gerektirmeyenlerdir. Güvenliği sonradan eklemek yerine iş akışına dahil eden araçları seçin.

Maxisnap ekran görüntüsü güvenliğini üç şekilde ele alır:

• Dahili bulanıklaştırma aracı — Tek tuş vuruşu (B) hassas verileri kaydetmeden veya paylaşmadan önce pikselleştirmek için
• Kendi sunucunuzda barındırılan yükleme — SFTP ve S3 yüklemesi üçüncü taraf bir bulut yerine kendi altyapınıza
• Telemetri yok — Maxisnap ana sunucuya bağlanmaz, analiz yüklemez ve yakalama sonrası ekran görüntülerinize erişmez

Ekran görüntüsü iş akışında güvenlik, adımlar eklemekle ilgili değildir. Hassas bilgileri gizlemeyi ve özel barındırmayı varsayılan hale getiren araçlar kullanmakla ilgilidir — ek bir çaba değil. Maxisnap'i ücretsiz indirin ve yakalama iş akışınıza güvenliği ilk günden itibaren dahil edin. Kişisel kullanım için ücretsiz.