Yaklaşık iki milyar e-posta adresinin yanı sıra 1,3 milyar şifreden oluşan devasa bir koleksiyon çevrimiçi ortamda açığa çıktı.
İnsanları bir veri ihlaline maruz kalmaları durumunda bilgilendiren çevrimiçi bir hizmet olan Have I Be Pwned (HIBP), siber suçluların çalıntı kimlik bilgilerini yayınladığı birden fazla kaynaktan derlenen verileri işledi.
Listede kendi şifresinin yer aldığını itiraf eden HIBP CEO’su Troy Hunt şunları söyledi: ‘Bu veri, daha önce tespit ettiğimiz en büyük ihlalin neredeyse üç katı büyüklüğünde. [have ever] yüklendi.”
Veri kümesi 1.957.476.021 benzersiz e-posta adresi ve 1,3 milyar benzersiz şifre içeriyor; bunların 625 milyonu daha önce HIBP tarafından görülmemiş.
Dünya çapında 5,5 milyardan fazla insanın internet kullandığı göz önüne alındığında araştırmacılar, önlem olarak herkesin şifrelerini değiştirmesi gerektiği konusunda uyardı.
Kayıtlar, geçmiş ihlalleri, saldırganların birden fazla hesapta çalınan şifreleri denemek için kullandığı bir tür veri olan kimlik bilgisi doldurma listeleriyle birleştirdi.
HIBP, gerçek kullanıcıların kimlik bilgilerini kontrol ederek veri kümesini doğruladı. Çoğu şifre eski veya kullanılmamıştı, ancak diğerleri hâlâ hesapları aktif olarak koruyordu, bu da gerçek dünyadaki riski gösteriyordu.
Hunt, kullanıcıların kimlik bilgilerinin ele geçirilip geçirilmediğini belirlemelerine yardımcı olmak için HIBP’yi sundu ve anında sonuçlar için e-posta adreslerini ve şifrelerini kontrol etmelerine olanak tanıdı.
Veri kümesi 1.957.476.021 benzersiz e-posta adresi ve 1,3 milyar benzersiz şifre içeriyor
HIBP’ler Pwned Şifreler hizmeti Herhangi birinin, hangi e-posta adresiyle bağlantılı olduğunu açıklamadan bir şifrenin daha önce açığa çıkıp çıkmadığını kontrol etmesine olanak tanır, güvenliği artırırken gizliliği korur.
Hunt, “Veri ihlalleriyle ilgili abartılı haber manşetlerinden nefret ediyorum, ancak ‘2 Milyar E-posta Adresi’ başlığının abartılı olması için abartılması veya abartılması gerekir – ve öyle değil” dedi.
‘Bu şimdiye kadar işlediğimiz en kapsamlı veri külliyatı, açık farkla.
Siber güvenlik uzmanları, bireylere güvenli bir şifre yöneticisi kullanmalarını ve her hesap için benzersiz, güçlü şifreler oluşturmalarını söyleyerek derhal harekete geçme çağrısında bulunuyor.
Tüm hesaplarda iki faktörlü kimlik doğrulama etkinleştirilmeli ve öncelik e-posta ve yönetici oturum açma işlemlerine verilmelidir.
Kuruluşların, kullanıcılar arasında yeniden kullanılan veya açığa çıkan şifreleri belirlemek için kimlik bilgisi kontrolleri yapması tavsiye edilir.
Oturum açma ve parola değişiklikleri sırasında ihlal edilen parola tespiti uygulanmalıdır. Erişim ayrıcalıkları denetlenmeli, hizmet hesapları kısıtlanmalı ve güncel olmayan kimlik bilgileri kaldırılmalıdır.
Bireyler için veri ihlalinin çıkarımı açık: Şifreler artık tek başına yeterli değil.
Dünya çapında 5,5 milyardan fazla insanın internet kullandığı göz önüne alındığında, araştırmacılar şaşırtıcı sayıda kişinin hesaplarının en azından bazılarının ele geçirilmiş olabileceği konusunda uyardı
Kuruluşlar benzer zorluklarla karşı karşıyadır ancak daha büyük ölçektedir.
Kimlik bilgisi doldurma saldırıları özellikle tehlikelidir çünkü sızdırılan tek bir şifre, saldırganların kurumsal sistemlere, e-posta hesaplarına ve hassas verilere erişmesine neden olabilir.
Kuruluşlara sıfır güven erişim modellerini benimsemeleri, en az ayrıcalıklı politikaları uygulamaları, MFA’yı uygulamaları ve açığa çıkan kimlik bilgilerini sürekli olarak izlemeleri tavsiye edilir. İhlal-müdahale planları aktif olmalı ve otomatik sistemler, kimlik bilgisi doldurma girişimlerini tespit edip önlemelidir.
Teknik açıdan bakıldığında, bu devasa külliyatın işlenmesi önemli zorluklar doğurdu.
HIBP, canlı hizmeti günlük milyonlarca kullanıcıya açık tutarken, mevcut 15 milyar kaydın yanı sıra iki milyar kaydı da yönetmek için Azure SQL altyapısını optimize etmek zorunda kaldı.
Veriler, performansı ve doğruluğu sağlamak için birden fazla doğrulama ve test turuyla karma hale getirildi ve gruplar halinde eklendi. Etkilenen abonelere gönderilen e-posta bildirimleri, kısıtlamayı önlemek ve teslim edilebilirliği korumak için dikkatli bir şekilde kademeli hale getirildi.
Sonuçta bu devasa veri seti, yeniden kullanılan ve güvenliği ihlal edilen kimlik bilgilerinin oluşturduğu devam eden riskleri vurguluyor.