Konu Başlıkları Gizle
- 1 Data Troll Stealer Logs
- 2 CraftRise
- 3 Internet Archive
- 4 YouNow
- 5 Wattpad
- 6 Twitter
- 7 Deezer
- 8 Gemini
- 9 Peki ne yapmalısınız?
Selam,
Bu sabah yaptığım duyurudan sonra çok fazla benzer türde soru geldi, soruları topluca cevaplama kararı aldım, hem bu durumu yaşayan kişiler için de rehber olabilir.
Haziran ayında çıkan “16 milyar şifre sızdırıldı” başlıklı haber aslında abartılıydı. Medya bu tarz manşetleri sürekli şişiriyor. Gerçek verilere bakıldığında, bunun tek bir devasa veri ihlali olmadığı, çeşitli “infostealer” (zararlı yazılımların çaldığı) logların bir araya getirilmiş hali olduğu ortaya çıktı. Yani belirli bir siteden dolayı oluşan bir sızıntı yok, birçok kaynaktan gelen bir veri bu.
Araştırmacı Bob’un sağladığı veri 775 GB büyüklüğünde ve 2.7 milyar satırdan oluşuyor. İlk kontrollerde %90’dan fazlasının zaten Have I Been Pwned'da bulunduğu görüldü. Tekrarlı kayıtlar ve aynı kişinin farklı sitelerdeki giriş bilgilerinin tekrar edilmesi nedeniyle gerçek rakam çok daha küçüktü.
Sonuç olarak:
Yine buna benzer olarak, CraftRise sorusu çok fazla geldi. CraftRise Mayıs 2023'te veri ihlali yaşadı ve 2,5 milyonu aşkın kişinin verileri bir hack forumunda paylaşıldı. Veriler de siteye kayıt olurken kayıt olduğunuz e-posta adresleri, parolalar, kullanıcı adları ve coğrafi konumlar olarak bildirildi. Sızdırılan veride de en son Mart 2022 tarihli bilgilerin yer aldığını belirtmekte fayda var.
Eylül 2024'te 31 milyon kişiye ait ve 6,4 GB'lık bir SQL data bilgilerinin sızdırıldığı bir ihlal olarak kayıtlara geçiyor. Çalınan verilerde ise e-posta adresleri, kullanıcı adları, parola değiştirme tarihleri, bcrypt ile şifrelenmiş parolalar ve diğer dahili bilgiler bulunuyor. Ek olarak Internet Archive, saldırının bir JavaScript kütüphanesi üzerinden siteye zararlı kod enjekte edilerek yapıldığını açıkladı. Ayrıca aynı dönemde DDoS saldırıları da yaşandı. Daha sonra saldırganlar, Internet Archive’ın Zendesk destek sistemi üzerinden de ikinci kez veri sızdırdı.
Şubat 2019 tarihinde aslında yapılan bu sızıntı sadece YouNow değil, aynı anda birkaç siteye daha ait veri ihlalini içeriyor. YouNow'un verilerini paylaşan hacker daha önce 16 siteden 620 milyon kullanıcı kaydını zaten sızdırmıştı. Bu kez 8 siteden 127 milyon yeni kayıt daha sızdırdı. Veriler, Dark Web’de yaklaşık 14.500 dolar değerinde Bitcoin karşılığında satışa çıkarıldı.
Sızıntı yapılan siteler ve kayıt sayıları:
Haziran 2020 tarihinde 270 milyon kullanıcıya ait veritabanı önce 100.000 dolar karşılığında özel satışlarda sunuldu, ardından hacker forumlarında ücretsiz olarak paylaşılmaya başlandı. Çalınan veriler kullanıcı adları, isimler, e-posta adresleri, coğrafi konum bilgileri ve hashlenmiş şifreler olarak bildirildi. Şifrelerin bir kısmı bcrypt, bir kısmı ise SHA256 ile korunmuştu. Wattpad, yapılan incelemelerde finansal bilgiler, telefon numaraları, özel mesajlar ve hikâyelerin sızmadığını açıkladı.
Ocak 2021 tarihinde 200 milyondan fazla kullanıcının e-posta adresi ve hesap bilgileri sızdırıldı. Sızıntı, Twitter’ın 2021’deki bir API açığından kaynaklandı. Bu açık sayesinde saldırganlar, e-posta veya telefon numarası girerek bir Twitter ID’siyle eşleşip eşleşmediğini öğrenebildi. Ardından bu ID’lere ait herkese açık profil bilgileri de çekilerek özel e-posta ve numaralarla birleştirildi. Twitter bu açığı Ocak 2022’de kapattı, fakat toplanan veriler daha sonra satılmaya ve yayılmaya devam etti. 5,4 milyonluk ilk veri seti Temmuz 2022’de 30.000 dolara satıldı, Kasım 2022’de ücretsiz yayımlandı. Sonrasında 17 milyonluk başka bir set dolaşıma girdi. Daha büyük bir 400 milyonluk veri seti Aralık 2022’de satışa çıkarıldı. En son olarak 200 milyon profil bilgisi, tekrar temizlenmiş versiyonuyla (aslında 221 milyon satırın tekrarsız hali) yalnızca 2 dolara hacker forumlarında yayımlandı.
Özetle sızdırılan bilgiler şöyle:
Deezer, bir üçüncü taraf hizmet sağlayıcısında 2019'da gerçekleşen veri ihlali sonucu kullanıcı verilerinin sızdırıldığını kabul etti. Sızdırılan veri 258 milyon kayıt içeriyordu ve 228 milyon e-posta adresi açıkça görünürken sızdırılan toplam dosya boyutu 60 GB şeklinde açıklandı. Şirketin kendi veritabanları etkilenmedi.
Sızdırılan veriler ise şöyleydi:
Aralık 2022'de Gemini, bir üçüncü taraf sağlayıcıdaki güvenlik ihlali sonucu müşteri e-posta adresleri ve kısmen maskelenmiş telefon numaralarının sızdırıldığını duyurdu. Eylül 2022’de hacker forumlarında 30 Bitcoin (yaklaşık $520.000) karşılığında satışa çıkarılmıştı. Daha sonra farklı takma adlarla tekrar tekrar satış denemeleri yapıldı. Alıcı bulunamayınca bedava olarak hacker forumlarında paylaşıldı. Ancak bu saldırıdan sonra kullanıcılara gelen phishing maillerinde gözle görülür bir artış oldu.
Sızdırılan veriler ise şöyleydi:
Bu sızıntı listesi bu şekilde uzayıp gider.
Bu sabah yaptığım duyurudan sonra çok fazla benzer türde soru geldi, soruları topluca cevaplama kararı aldım, hem bu durumu yaşayan kişiler için de rehber olabilir.
Data Troll Stealer Logs
Haziran ayında çıkan “16 milyar şifre sızdırıldı” başlıklı haber aslında abartılıydı. Medya bu tarz manşetleri sürekli şişiriyor. Gerçek verilere bakıldığında, bunun tek bir devasa veri ihlali olmadığı, çeşitli “infostealer” (zararlı yazılımların çaldığı) logların bir araya getirilmiş hali olduğu ortaya çıktı. Yani belirli bir siteden dolayı oluşan bir sızıntı yok, birçok kaynaktan gelen bir veri bu.
Araştırmacı Bob’un sağladığı veri 775 GB büyüklüğünde ve 2.7 milyar satırdan oluşuyor. İlk kontrollerde %90’dan fazlasının zaten Have I Been Pwned'da bulunduğu görüldü. Tekrarlı kayıtlar ve aynı kişinin farklı sitelerdeki giriş bilgilerinin tekrar edilmesi nedeniyle gerçek rakam çok daha küçüktü.
Sonuç olarak:
- 2.7 milyar satır yani 325 milyon benzersiz kayıt,
- 109 milyon benzersiz e-posta adresi çıktı,
- Bunların %96’sı zaten HIBP’de mevcuttu.
- Yalnızca 4.4 milyon yeni e-posta adresi eklendi.
- 231 milyon benzersiz parola bulundu, %96’sı daha önce biliniyordu.
CraftRise
Yine buna benzer olarak, CraftRise sorusu çok fazla geldi. CraftRise Mayıs 2023'te veri ihlali yaşadı ve 2,5 milyonu aşkın kişinin verileri bir hack forumunda paylaşıldı. Veriler de siteye kayıt olurken kayıt olduğunuz e-posta adresleri, parolalar, kullanıcı adları ve coğrafi konumlar olarak bildirildi. Sızdırılan veride de en son Mart 2022 tarihli bilgilerin yer aldığını belirtmekte fayda var.
Internet Archive
Eylül 2024'te 31 milyon kişiye ait ve 6,4 GB'lık bir SQL data bilgilerinin sızdırıldığı bir ihlal olarak kayıtlara geçiyor. Çalınan verilerde ise e-posta adresleri, kullanıcı adları, parola değiştirme tarihleri, bcrypt ile şifrelenmiş parolalar ve diğer dahili bilgiler bulunuyor. Ek olarak Internet Archive, saldırının bir JavaScript kütüphanesi üzerinden siteye zararlı kod enjekte edilerek yapıldığını açıkladı. Ayrıca aynı dönemde DDoS saldırıları da yaşandı. Daha sonra saldırganlar, Internet Archive’ın Zendesk destek sistemi üzerinden de ikinci kez veri sızdırdı.
YouNow
Şubat 2019 tarihinde aslında yapılan bu sızıntı sadece YouNow değil, aynı anda birkaç siteye daha ait veri ihlalini içeriyor. YouNow'un verilerini paylaşan hacker daha önce 16 siteden 620 milyon kullanıcı kaydını zaten sızdırmıştı. Bu kez 8 siteden 127 milyon yeni kayıt daha sızdırdı. Veriler, Dark Web’de yaklaşık 14.500 dolar değerinde Bitcoin karşılığında satışa çıkarıldı.
Sızıntı yapılan siteler ve kayıt sayıları:
- Ixigo (seyahat sitesi): 18 milyon kayıt
- YouNow (canlı yayın platformu): 40 milyon kayıt
- Houzz: 57 milyon kayıt
- Ge.tt: 1,8 milyon kayıt
- Coinmama (kripto para sitesi): 450 bin kayıt
- Roll20 (oyun sitesi): 4 milyon kayıt
- Stronghold Kingdoms (MMO oyun): 5 milyon kayıt
- PetFlow (evcil hayvan ürünleri): 1 milyon kayıt
- Adlar, e-posta adresleri, şifreler (çoğu hashlenmiş şekilde), bazı giriş verileri bulunuyordu ancak finansal bilgiler yoktu.
- Ixigo ve PetFlow siteleri eski MD5 algoritmasını kullanmıştı; ancak bu kolayca çözülebiliyor.
- YouNow ise şifre saklamadığını açıklamıştı.
- Güvenlik uzmanlarına göre "hacker, aynı güvenlik açığını kullanarak bu sitelere sızmış olabilir. Bazılarında PostgreSQL veritabanı kullanılıyor." şeklinde bir açıklama yapılmıştı.
Wattpad
Haziran 2020 tarihinde 270 milyon kullanıcıya ait veritabanı önce 100.000 dolar karşılığında özel satışlarda sunuldu, ardından hacker forumlarında ücretsiz olarak paylaşılmaya başlandı. Çalınan veriler kullanıcı adları, isimler, e-posta adresleri, coğrafi konum bilgileri ve hashlenmiş şifreler olarak bildirildi. Şifrelerin bir kısmı bcrypt, bir kısmı ise SHA256 ile korunmuştu. Wattpad, yapılan incelemelerde finansal bilgiler, telefon numaraları, özel mesajlar ve hikâyelerin sızmadığını açıkladı.
Twitter
Ocak 2021 tarihinde 200 milyondan fazla kullanıcının e-posta adresi ve hesap bilgileri sızdırıldı. Sızıntı, Twitter’ın 2021’deki bir API açığından kaynaklandı. Bu açık sayesinde saldırganlar, e-posta veya telefon numarası girerek bir Twitter ID’siyle eşleşip eşleşmediğini öğrenebildi. Ardından bu ID’lere ait herkese açık profil bilgileri de çekilerek özel e-posta ve numaralarla birleştirildi. Twitter bu açığı Ocak 2022’de kapattı, fakat toplanan veriler daha sonra satılmaya ve yayılmaya devam etti. 5,4 milyonluk ilk veri seti Temmuz 2022’de 30.000 dolara satıldı, Kasım 2022’de ücretsiz yayımlandı. Sonrasında 17 milyonluk başka bir set dolaşıma girdi. Daha büyük bir 400 milyonluk veri seti Aralık 2022’de satışa çıkarıldı. En son olarak 200 milyon profil bilgisi, tekrar temizlenmiş versiyonuyla (aslında 221 milyon satırın tekrarsız hali) yalnızca 2 dolara hacker forumlarında yayımlandı.
Özetle sızdırılan bilgiler şöyle:
- E-posta adresleri
- İsimler ve kullanıcı adları
- Takipçi sayıları
- Hesap oluşturma tarihleri
Deezer
Deezer, bir üçüncü taraf hizmet sağlayıcısında 2019'da gerçekleşen veri ihlali sonucu kullanıcı verilerinin sızdırıldığını kabul etti. Sızdırılan veri 258 milyon kayıt içeriyordu ve 228 milyon e-posta adresi açıkça görünürken sızdırılan toplam dosya boyutu 60 GB şeklinde açıklandı. Şirketin kendi veritabanları etkilenmedi.
Sızdırılan veriler ise şöyleydi:
- Ad ve soyad
- Doğum tarihi
- E-posta adresleri
- Cinsiyet
- Konum bilgisi (şehir ve ülke)
- Üyelik başlangıç tarihi
- Kullanıcı ID’si
- Oturum kayıtları (IP adresleri ve cihaz bilgileri) - hackerların iddiasına göre
Gemini
Aralık 2022'de Gemini, bir üçüncü taraf sağlayıcıdaki güvenlik ihlali sonucu müşteri e-posta adresleri ve kısmen maskelenmiş telefon numaralarının sızdırıldığını duyurdu. Eylül 2022’de hacker forumlarında 30 Bitcoin (yaklaşık $520.000) karşılığında satışa çıkarılmıştı. Daha sonra farklı takma adlarla tekrar tekrar satış denemeleri yapıldı. Alıcı bulunamayınca bedava olarak hacker forumlarında paylaşıldı. Ancak bu saldırıdan sonra kullanıcılara gelen phishing maillerinde gözle görülür bir artış oldu.
Sızdırılan veriler ise şöyleydi:
- E-posta adresleri
- Eksik telefon numaraları (ortadaki 3 hane silinmiş)
- Toplam 5,7 milyon kullanıcı
Bu sızıntı listesi bu şekilde uzayıp gider.
Peki ne yapmalısınız?
- Öncelikle, gerek haveibeenpwned gerek muadil bir sitede tüm e-posta adreslerinizi kaydedin ve herhangi bir sızıntıda verileriniz geçtiği zaman e-posta gelmesini sağlayın.
- Sızdırılan hesap sadece tek hesabınızla sınırlı olmayabilir, diğer e-posta adreslerinizi de sorgulatın.
- Sızıntıya dahil olan e-posta adresiniz dahil olmak üzere, kayıt olduğunuz tüm sitelerdeki/oyunlardaki hesaplarınızın parolalarını değiştirin.
- Yeni parolaları belirlerken daha önceden kullandığınız parolaları kullanmayın ve minimum 10-12 karakterli, içerisinde büyük/küçük harf, rakam ve sembol içeren bir parola tercih edin.
- Mümkünse Bitwarden vb. bir şifre yöneticisi de kullanabilirsiniz.
- Hesaplarınızda 2 adımlı doğrulamayı aktif edin. Bunun için de SMS değil, 2FA uygulamaları (Google Authenticator, Bitwarden, 2FAS, Ente Auth vb.) kullanın.
- Sızdırılan hesaplarınıza ait aktiviteleri kontrol edin. Bu tarz durumlarda ilk olarak banka, dijital oyun servisi, oyun, Google gibi popüler hesaplara giriş yapılmaya çalışılır. Bu hesaplarda anormal bir durum var ise hesaplardaki tüm cihazları silin. Gerekirse ilgili sitenin/oyunun destek sistemi ile iletişime geçin.
- Özellikle e-posta adresiniz sızdırıldıktan sonra çok fazla phishing maili gelmeye başlayacaktır geneli spama düşer ancak normal olarak gelen maillerde de bir linke tıklamadan önce kesinlikle dikkat edin.
- Ekstra güvenlik meraklısı olmak isteyenler var ise digital-defense.io sitesinde bulunan bir çok güvenlik önerisini deneyebilir.
- ProtonMail gibi uçtan uca şifreli olan güvenli bir e-posta hizmeti kullanın.
Örneğin Gmail ile karşılaştıracak olursak:- Verileriniz gizli tutulur ve reklam amaçlı kullanılmaz.
- Gmail'de varsayılan şifreleme sadece iletim sırasında varken (TLS), ProtonMail’de uçtan uca şifreleme ve parolalı e-posta seçenekleri vardır. Uçtan uca şifreleme ise bir mesajın veya verinin sadece gönderen ve alıcı tarafından okunabilmesini sağlayan şifreleme yöntemidir.
- Google, ABD yasalarına tabidir ve talep halinde kullanıcı verilerini paylaşabilir. ProtonMail İsviçre yasaları altında daha güçlü gizlilik korumasına sahiptir.
- ProtonMail’in bazı güvenlik teknolojileri açık kaynaklıdır, Gmail kapalı kaynak çalışır.
