Haberler
Google: 21 Milyon Şifrenin Binde 15’i Siber Saldırılara Açık
Bir araştırmaya göre yüz binlerce kullanıcı adı ve şifre, nispeten yeni bir siber saldırı tekniği olan credential stuffing’e karşı tam anlamıyla korumasız. İşte detaylar…
Google, internette kullanılan 21 milyon şifrenin binde 15’inin tehlike altında olduğu konusunda uyardı. Teknoloji şirketi, Password Checkup adlı eklenti ile taradığı şifrelerin 316 bininin credential stuffing adı verilen nispeten yeni bir siber saldırı tekniğine karşı korumasız olduğu sonucuna ulaştı.
Credential stuffing, siber saldırganın ele geçirmiş olduğu kullanıcı adı-şifre kombinasyonlarını aynı kullanıcıların sosyal medya, e-ticaret sitesi gibi farklı hesaplarına sızmak için deneyerek ilgili profilleri ele geçirmeye çalıştıkları bir teknik. Ele geçirilen hesaplar, tanımlı kredi kartı numaraları ve bazı kişisel bilgileri de içerebiliyor; zira söz konusu saldırı tekniğinin hedefi de tam olarak bu türdeki kritik veriler. İlginç bir detay olarak Credential stuffing saldırılarına ilişkin hesaplara giriş denemelerinde siber saldırganların binde 1-2 aralığında başarı sağlayabildiği kaydediliyor.
Google tarafından 5 Şubat- 4 Mart 2019 tarihleri arasındaki bir aylık süre boyunca toplanan istatistikler, riskli şifrelerin değiştirilmesi noktasında da yeterince hassas davranılmadığına işaret ediyor. Çalınan kullanıcı adı/şifre kombinasyonlarından haberdar olan milyonlarca kullanıcının gerektiği gibi aksiyon almadığı görülüyor. Google’a göre şifre/kullanıcı adı risk altında olan hesap sahiplerinin yüzde 26’sı uyarılırken yeniden belirlenen şifrelerin yüzde 60’ı gerektiği ölçüde güvenli değil.
2019 yılı için şifre ve kullanıcı adlarının ele geçirildiğini açıklayan birçok kuruluş var (Nest, Dunkin ‘Donuts, OkCupid, DailyMotion gibi). Bu veriler (şifre ve kullanıcı adları) credential stuffing için ‘denenmeye’ açık ve bu da ciddi bir risk unsuru anlamı taşıyor.
E-posta güvenliği konusunda uzmanlaşmış bir kuruluş olan Agari Data’nın istihbarat müdürü Crane Hassold’a göre Credential stuffing, son birkaç yılda çevrimiçi hizmetlere yönelik ciddi bir tehdit haline geldi, ayrıca çoğu kimse şifrelerini düzenli şekilde değiştirmiyor, bu nedenle saldırganlar önceden ele geçirdikleri şifreleri kötü amaçları için kullanabiliyor.
Bu arada credential stuffing’e Türkçe karşılık ihtiyacı için önerimiz: ‘Çalınan hesapla hesap çalmak.’
