Have I Been Pwned'i işleten güvenlik uzmanı Troy Hunt, yakın zamanda çok sayıda kötü amaçlı listede ve internet kaynağında bulunan 1,3 milyar benzersiz şifre de dahil olmak üzere 2 milyar benzersiz e-posta adresi aldı. Daha önce ihlal edilen 183 milyon e-posta adresi gibi, bu veriler de güvenlik firması Synthient'in çeşitli veri sızıntılarını derleyip özetleyen toplu koleksiyonundan geliyor.
İşlendikten sonra, veri seti artık yalnızca Infostealer yazılımı tarafından ele geçirilen benzersiz kimlik bilgilerini (yani yinelenen kombinasyonları içermiyor) içeriyor. Bunlar ya internette ücretsiz olarak mevcuttu ya da Telegram grupları aracılığıyla toplanabiliyordu. Hesaplarınızın ele geçirilip geçirilmediğini görmek için mutlaka HIBP web sitesini kontrol etmelisiniz.
Veriler nasıl kontrol edildi?
Troy Hunt, bir blog yazısında veri kayıtlarının doğruluğunu ve doğruluğunu nasıl kontrol ettiğini anlatıyor. İlk olarak kendi adını girdi ve gerçekten kullandığı 90'lı yıllardan kalma eski bir e-posta adresini buldu. Ayrıca birkaç bağlantılı şifre buldu, ancak aslında yalnızca bir tanesi onun hesabına aitti.
Daha sonra e-posta listesini takip eden birkaç kişiyle iletişime geçti ve onlardan da verilerini kontrol etmeleri istendi. Bazıları artık kullanılmayan eski şifreleri bulduklarını belirtirken, bazıları da hesaplarına ait güncel erişim verilerini keşfettiklerini belirtti. Bu nedenle verilerin bir kısmı birkaç on yıl öncesine aitken, diğer veriler yeniydi.
Bilgisayar korsanları farklı kombinasyonları denemek için de bu prosedürü kullanır. “Kimlik bilgisi doldurma” (bu yönteme verilen ad) ile verinin kaç yaşında olduğu önemli değildir. Pek çok kişi şifrelerini nadiren değiştirdiğinden, saldırganlar bilinen çeşitli kimlik bilgilerini sonunda başarılı olana kadar test edebilir. Güvenli olmayan şifreler (“12345” gibi), doğum tarihleri veya isimler bile hızla kırılabilir.
Şifrenizin ele geçirilip geçirilmediğini kontrol edin
Hunt, şifreleri Pwned Şifreler veritabanına yükledi; buradan belirli bir şifrenin zaten kırılıp kırılmadığını da kontrol edebilirsiniz. Parolalar ilişkili bir e-posta adresi olmadan kaydedilir, dolayısıyla bu yalnızca parolanın güvenliğiyle ilgilidir.
Güvenlik amacıyla, sizin zaten güvenli olmayan bir şifre kullanmış olmanız ya da başka birinin şunu kullanmış olması önemli değildir: “'Fido123!' şifreniz varsa!' ve daha önce ifşa edildiğini fark ederseniz (ki zaten öyledir), sizin e-posta adresinize mi yoksa bir başkasının e-posta adresine mi maruz kaldığı önemli değildir. Bu hala kötü bir şifre çünkü köpeğinizin adını taşıyor ve oldukça öngörülebilir bir kalıp izliyor. Gerçekten güçlü bir şifreniz varsa ve bu şifre Pwned Şifreler'deyse, o şifrenin gerçekten size ait olduğundan emin olarak oradan ayrılabilirsiniz. Her iki durumda da, bu şifreyi bir daha hiçbir yerde kullanmamalısınız.”
Hunt, kendi şifrelerinizi ve e-posta hesaplarınızı (sadece tek kullanımlık e-posta adresleri olsalar bile) düzenli olarak kontrol etmenizi önerir. Sonuçta verilerinizi başka kimin ele geçirebileceğini asla bilemezsiniz.
Daha fazla okuma: E-posta adresinizin ele geçirilip geçirilmediğini nasıl kontrol edebilirsiniz?
Bu makale ilk olarak kardeş yayınımız PC-WELT'te yayınlanmıştır ve Almanca'dan çevrilerek yerelleştirilmiştir.
Bir yanıt yazın