WIRED’in abonelik verileri, yeraltı forumlarında dolaşıma giren büyük bir sızıntıyla açığa çıktı. “Lovely” takma adlı aktör, Condé Nast’ın sistemlerini zayıf noktalar üzerinden istismar ettiğini, önce WIRED’e ait 2,3 milyon kullanıcının verilerini paylaştığını ve “önümüzdeki haftalarda” Condé Nast ağına ait 40 milyon+ kaydı daha yayımlamakla tehdit ettiğini söylüyor. Veriler Aralık 2025’te birden fazla forumda yayınlandı; bazı paylaşımlarda Lovely doğrudan sızdırırken, bir diğerinde “Tanaka” adlı moderatör paketi yeniden yükledi. Lovely’nin ilk paylaşımında erişim yaklaşık 2 dolar karşılığında forum kredileriyle satılıyordu.
Sızdırılan WIRED paketinde e‑posta adresleri, tam adlar, posta adresleri, telefon numaraları ve hesap oluşturma/son oturum zaman damgaları gibi abonelik meta verileri yer alıyor. Bağımsız analizler, paketin 2,3 milyon e‑posta, 285.936 ad, 102.479 adres ve 32.426 telefon numarası içerdiğini gösteriyor. “Have I Been Pwned” de olayı veri ihlali olarak ekledi ve etkilenen hesap sayısını 2,4 milyon olarak listeliyor.
Ne oldu, nasıl oldu?
Güvenlik firmalarının ilk teknik değerlendirmesine göre saldırgan, Insecure Direct Object Reference (IDOR) ve kırık erişim kontrolü gibi web uygulaması açıklarını kullanarak kullanıcı profillerini toplu biçimde çekebildi. Bu yöntem, kullanıcı ID’lerini yineleyerek yetkisiz profillere erişmeyi mümkün kılıyor.
Lovely, Kasım 2025’te DataBreaches.net üzerinden Condé Nast’a ulaşmaya çalıştığını, toplamda altı güvenlik açığını bildirdiğini ancak aylarca yanıt alamadığını iddia ediyor. Siteye göre süreç boyunca aracı temaslar da oldu; nihayet bazı açıkların kapatıldığı söylense de şirketten kamuya açık bir açıklama gelmedi.
Hem güvenlik haber siteleri hem de ulusal CERT duyuruları, Condé Nast’tan olayla ilgili bir açıklama yapılmadığını, ancak sızıntının kapsamının şirketin diğer yayınlarını da etkileyebileceğini aktarıyor. Lovely, WIRED’e ek olarak The New Yorker, Vogue, Vanity Fair ve diğer markalara ait kullanıcı verilerine ulaştığını öne sürüyor.
Okurlar ne yapmalı?
- WIRED veya Condé Nast hesaplarınızın parolasını hemen değiştirin; aynı parolayı kullandığınız diğer sitelerde de yenileyin.
- Mümkün olan her yerde iki aşamalı doğrulamayı açın.
- Şüpheli e‑postalar ve kimlik avı girişimlerine karşı dikkatli olun; özellikle “aboneliğinizle ilgili” görünen mesajlara temkinli yaklaşın.
- E‑posta adresinizi Have I Been Pwned gibi hizmetlerde kontrol ederek etkilenip etkilenmediğinizi öğrenin.
Özetle: Aralık ayındaki WIRED sızıntısı doğrulandı ve veri seti halihazırda ihlal veri tabanlarına eklendi. Lovely’nin “40 milyon+” Condé Nast kaydını daha yayımlama tehdidi sürüyor. Şirketin resmî bir duyuru yapmaması, riskin boyutunu belirsiz bırakıyor; ancak kullanıcıların hesap güvenliğini güçlendirmesi için beklemeye gerek yok.
Kaynak: www.techspot.com
