Gizlilik ve siber güvenlik araştırmacısı Troy Hunt, yakın zaman önce internette ortaya çıkan ve 700 milyondan fazla e-posta adresi ile 1.1 milyardan fazla kullanıcı adı-parola ikilisini içeren "Collection#1" (Koleksiyon #1) adlı veri tabanı hakkında tüm internet kullanıcılarını uyardı.
Hunt’ın konuyla ilgili yayınladığı blog yazısına göre 87 GB boyutundaki ve 12 binden fazla dosyayı içeren Collection #1, dosya paylaşım hizmeti MEGA bulut servisinde ve popüler bazı 'dark web' forumlarında paylaşıldı.
Eşi benzeri bulunmayan bilgiler içeren veri tabanı, 2008'den bu yana çeşitli kaynaklardan sızdırılan veri listelerinden meydana geliyor.
SİZİN E-POSTANIZI DA ELE GEÇİRMİŞ OLABİLİRLER!
Troy Hunt, şu bilgileri paylaştı: “Koleksiyon #1, toplam 2 milyar 692 milyon 818 bin 238 satırdan oluşan bir e-posta adresi ve parola setidir. Kelimenin tam anlamıyla binlerce farklı kaynaktan gelen birçok farklı bireysel veri ihlalinden oluşuyor”.
Hunt, temizleme işlemi sonucunda 1 milyar 160 milyon 253 bin 228 benzersiz e-posta adresi ve parola kombinasyonunu 772 milyon 904 bin 991 adet benzersiz e-posta adresine indirdi. Bununla birlikte 21 milyon 222 bin 975 benzersiz parola, düz metin olarak yer alıyor.
Dizin listesindeki birçok ihlali tanıdığını söyleyen Hunt, eskiden kendisinin de kullandığı hesapların ortaya çıktığını ve bu eski e-posta/şifre kombinasyonunun gerçekten doğru olduğunu aktardı. Troy Hunt, “Kısacası, bu ihlalin içindeyseniz, daha önce kullandığınız bir veya daha fazla şifre, başkalarının görmesi için dolaşıyor” diye yazdı.
NASIL KONTROL EDİLİR?
Küresel antivirüs yazılım kuruluşu Eset’in de mercek altına alıp, doğruladığı olay, şimdiden “tarihin en büyük veri ifşası” olarak nitelendiriliyor.
Uzmanlar, e-posta hesaplarınızdan herhangi birinin veya e-postanızla ilişkili çevrimiçi bir hesabınızın bu ihlalin parçası olup olmadığını konusunda kullanıcıların şu adımları atmaları uyarı yaptı:
- haveibeenpwned.com adresine girerek e-posta hesabınızın ele geçirilip geçirilmediğini kontrol edin.
- En önemli veya hassas hesaplarınız (internet bankacılığı, çevrimiçi ödeme veya sosyal medya ağları gibi) için güçlü parolalar kullanın ve bunları düzenli olarak değiştirin.
- Mümkün olan her yerde iki faktörlü kimlik doğrulama sistemini tercih edin.
‘HAKKINIZDA DEVASA VERİLER TOPLUYORLAR’
Konu hakkındaki kaygılarını dile getiren Kaspersky Lab Güvenlik Uzmanı Sergey Lozhkin de şu değerlendirmeyi yaptı:
“Sızıntılarla ilgili çok uzun süredir devasa boyutlarda veri toplanıyor. Öyle ki bazı hesap bilgileri artık geçerliliğini yitirmiş olabilir. Ancak, insanlar bu tehlikenin her geçen gün daha çok farkında olsalar da aynı parolaları birden fazla web sitesinde kullanmaya devam ediyorlar. Toplanan bu veriler kolaylıkla bir e-posta ve parola listesi haline getirilebiliyor. Saldırganların yapması gereken tek şey basit bir yazılımla parolaların çalışıp çalışmadığını kontrol etmek olacaktır. Hesaplara izinsiz erişimin sonuçları; suçluların kurbanın kişi listesindeki isimlere otomatik olarak zararlı e-postalar gönderebildiği verimli kimlik avı saldırılarından, kurbanın tüm dijital kimliğini veya parasını çalmak veya sosyal medya ağlarındaki verilerini ele geçirmek için tasarlanan hedefli saldırılara kadar çeşitlilik gösterebiliyor.”
YORUMLAR