Siber güvenlik uzmanı Troy Hunt’un yönettiği Have I Been Pwned platformu, 1 milyardan fazla e-posta ve şifre sızıntısını içeren devasa bir veri tabanını sisteme dahil etti. Hunt, Synthient adlı güvenlik firması tarafından toplanan 2 milyar benzersiz e-posta ve 1,3 milyar şifre kaydının büyük bölümünü analiz ederek doğruladı. Bu veriler, çeşitli zararlı listelerden, Telegram gruplarından ve internet üzerindeki sızdırılmış arşivlerden derlendi.
Artık bu dev veri seti, tekrarlanmayan ve doğrudan kötü amaçlı yazılımlar tarafından yakalanmış kimlik bilgilerini içeriyor. Kısacası, dünya çapında milyonlarca hesap, farkında olmadan açıkta olabilir. HIBP sitesine girip kendi e-posta adresinizi sorgulamak, risk altında olup olmadığınızı öğrenmenin en hızlı yolu.
Şifre verileri nasıl kontrol edildi
Troy Hunt, blog yazısında verilerin doğruluğunu test etmek için kendi e-postalarını incelediğini anlattı. 90’lı yıllardan kalma bir adresine ulaştığında gerçekten şaşırdığını söylüyor. Kayıtlı bazı şifreler ona ait olmasa da biri doğrudan kendi hesabına bağlıydı.
Ardından haber bültenine abone birkaç kullanıcıyla iletişime geçti. Onlar da eski ama hâlâ erişilebilir şifreler buldu. Bazı kayıtlar yıllar öncesine dayanırken, bazıları yeni oluşturulmuş hesaplara aitti.
“Credential stuffing” hâlâ en yaygın saldırı yöntemi
Hacker’lar için verinin eski ya da yeni olması fark etmiyor. “Credential stuffing” denilen yöntemle, sızan kullanıcı bilgileri sürekli deneniyor. Çünkü çoğu kişi şifrelerini nadiren değiştiriyor. Bu yüzden saldırganlar aynı kombinasyonları tekrar tekrar test ederek başarılı olabiliyor.
Dikkat edilmesi gereken yaygın hatalar:
- Kısa veya tahmin edilebilir şifreler kullanmak
- Doğum tarihi ya da evcil hayvan ismini tercih etmek
- Aynı şifreyi birden fazla hesapta tekrarlamak
Şifre güvenliğini test etmek mümkün
Hunt, ele geçirilen tüm şifreleri “Pwned Passwords” veritabanına yükledi. Burada kullanıcılar, bir şifrenin daha önce sızdırılıp sızdırılmadığını anonim olarak kontrol edebiliyor. E-posta adresleriyle bağlantı tutulmadığı için yalnızca şifrenin güvenliği test ediliyor.
Hunt, “Eğer ‘Fido123!’ gibi bir şifre bulduysanız ve bu daha önce sızmışsa, kime ait olduğunun önemi yok. Bu şifre zayıf, çünkü tahmin edilebilir,” diyor. Güçlü şifreler bile listede varsa, büyük ihtimalle gerçekten sizin kullandığınız bir şifredir.
Şifrelerinizi ve e-posta adreslerinizi düzenli olarak kontrol etmek, dijital güvenliğin en basit ama en etkili adımı. Çünkü hangi verinin, ne zaman sızdığını kimse bilemez. Gereksiz risk almaktansa, her hesabınıza özel güçlü bir şifre belirleyin ve asla tekrar kullanmayın.
Her geçen gün yeni veri ihlalleri ortaya çıkarken, bilinçli kullanıcı olmak artık zorunluluk haline geldi.
Çok önemli bir haber. Bilgi sızıntıları ve risk yönetimi, bireyselden çok kurumsal tarafta ciddi maliyetler doğuruyor. Milyar seviyesindeki sızıntılar, altyapı güvenliğinin ciddiyetini bir kez daha gösteriyor. Takdir ve teşekkürler!