Bir Bulut Sunucuda Gizlenmiş Yüz Milyonlarca Çalıntı Şifre Bulundu 

Britanya Ulusal Suç Ajansı (NCA) ile Ulusal Siber Suç Birimi (NCCU), müdahale edildiği anlaşılan bir bulut sunucuda 225 milyon çalıntı şifre bulunduğunu duyurdu.

NCA ve NCCU tarafından tespit edilen bulut sunucusunun siber korsanlar tarafından müdahale edildiği anlaşılırken, yer aldığı bulut depolama tesisi belirtilmedi. Yapılan açıklamada, kısa süre önce gerçekleştirilen bir NCA faaliyetinde NCCU’ya bağlı Mitigation@Scale ekibinin bir bulut depolama tesisinde çok yüksek miktarda sızdırılmış şifre ve hesap bilgisine ulaştığı belirtildi.

Analizler, söz konusu verilerin zamanla biriken hesap bilgisi ve şifreleri olduğunu, Britanya’daki bir iş bulut depolama tesisinde yer almalarının ise kamu alan adlarına açık olabilecekleri anlamına geldiğine işaret ediyor. Böylelikle üçüncü partilerin bu verilere erişerek dolandırıcılık eylemleri gerçekleştirebileceği not düşülüyor.

NCA tarafından BBC’ye geçtiğimiz yıl yapılan açıklamada, polis ile yürütülen operasyonda Britanya’daki bir bulut depolama tesisine müdahale edildiğinin anlaşıldığı ve 40.000 dosyanın siber suçlular tarafından sunuculara yüklendiği belirtildi. Söz konusu dosyalar arasında ele geçirilen şifreler ve e-posta adresleri olduğu kaydedildi.

NCA tarafından HIBP operatörüne aktarılan şifrelerin, Pwned Passwords veri tabanında yer almadığı doğrulandı. Gizlenen veri tabanındaki şifrelerin bazıları şu şekilde:

– flamingo228

– Alexei2005

– 91177700

– 123Tests

– aganesq

Organizasyonlar gizlenen veri tabanını SHA-1 formatında 17.2 GB boyutundaki bir dosya olarak indirilebilir. Dosya, FBI gibi kanun kurumları tarafından ele geçirilen hesap bilgilerinin rastgele güncellendiği listeyi içeren ilk versiyonu temsil ediyor. HIPB operatörü, FBI ve NCA tarafından sağlanan şifrelerin platformları için değil ancak toplum için olduğunu, verilerin credential stuffing eylemlerinin önlenmesi için NIST tarafından öngörülen şartları yerine getirmek adına herkes tarafından kullanılabileceğini belirtti.

Eklenen en son şifreler ile Pwned Passwords bünyesinde yer alan şifre sayısı 877.223.402’ye ulaşırken, bir önceki versiyona kıyasla %38 artış yaşandı. HIPB, şifrelerin yaygınlığı ele alındığı zaman, arşivlerindeki sızdırılmış şifrelerin internette belirme sayısını 5.579.399.834 olarak belirtti.

Şifreler HIBP hizmetine aktarıldı

Söz konusu çalıntı veriler, siber saldırılar sonucunda ele geçirilen şifre ve hesap bilgilerinin takip edilmesi amacıyla kurulan HaveIBeenPwned (HIBP) hizmetine aktarıldı.

Bu kapsamda 225 milyon şifre, HIPB’nin Pwned Passwords veri tabanında yer alan 613 milyon şifreye eklendi. Web sayfası operatörleri söz konusu şifreleri gözden geçirerek başka platformda da kullanılmadığından emin olabiliyor. Aynı zamanda internet kullanıcıları HIPB’nin Pwned Password sayfasından yararlanarak şifrelerinin geçmişteki siber saldırılarda sızdırılıp sızdırılmadığını kontrol edebiliyor.

Sunulan hizmet sayesinde NIST tarafından geçmişteki siber saldırılarda sızdırılan şifrelerin kullanılmaması şartı yerine getirilmiş oluyor. Bu sayede siber korsanların artarak kullandığı, sızdırılan şifre ve hesap bilgilerinin sayısız hesabı kırmak için kullanıldığı “credential stuffing” eylemlerinin engellenmesi amaçlanıyor.

FBI tarafından geçtiğimiz yıl verilen bilgiye göre, söz konusu yöntem ile 2017’den bu yana 50.000 banka hesabına müdahale edildi. Çok sayıda hesaba sızılmasının nedeni ise aynı şifrelerin birçok hesap için kullanılıyor olması. Aynı şifrenin birden çok hesap için kullanılması, tüketicilerin ve internet kullanıcılarının credential stuffing yöntemine maruz kalma riskini artırıyor.

Credential stuffing, siber saldırganın ele geçirmiş olduğu kullanıcı adı-şifre kombinasyonlarını aynı kullanıcıların sosyal medya, e-ticaret sitesi gibi farklı hesaplarına sızmak için deneyerek ilgili profilleri ele geçirmeye çalıştıkları bir teknik. Ele geçirilen hesaplar, tanımlı kredi kartı numaraları ve bazı kişisel bilgileri de içerebiliyor; zira söz konusu saldırı tekniğinin hedefi de tam olarak bu türdeki kritik veriler. İlginç bir detay olarak Credential stuffing saldırılarına ilişkin hesaplara giriş denemelerinde siber saldırganların binde 1-2 aralığında başarı sağlayabildiği kaydediliyor.