48 milyonu Gmail için, 17 milyonu Facebook için ve 420.000’i kripto para platformu Binance için olmak üzere 149 milyon hesap kullanıcı adı ve şifresi içeren bir veritabanı, bir araştırmacının bu riskin barındırma sağlayıcısına bildirilmesinin ardından kaldırıldı.
Veritabanını keşfeden uzun süredir güvenlik analisti olan Jeremiah Fowler, veritabanının kimin sahibi olduğuna veya işlettiğine dair bir ipucu bulamadı, bu yüzden sunucuyu bilgilendirmek için çalıştı ve sunucu, hizmet şartları anlaşmasını ihlal ettiği için hazineyi kaldırdı.
Fowler, bir dizi platform için e-posta ve sosyal medya oturum açma bilgilerinin yanı sıra, birden fazla ülkedeki hükümet sistemlerine ilişkin kimlik bilgilerinin yanı sıra tüketici bankacılığı ve kredi kartı oturum açma bilgilerini ve medya akış platformlarını da gözlemledi. Fowler, veritabanının, cihazlara bulaşan ve daha sonra kurbanların web sitelerine yazdığı bilgileri kaydetmek için keylogging gibi teknikler kullanan, bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından oluşturulduğundan şüpheleniyor.
Yaklaşık bir ay boyunca barındırma hizmetiyle iletişime geçmeye çalışan Fowler, veritabanının büyümeye devam ettiğini ve bir dizi hizmet için ek oturum açma bilgileri biriktirdiğini söyledi. Sağlayıcının adını vermiyor çünkü şirket, erişimini genişletmek için bağımsız bölgesel şirketlerle sözleşme yapan küresel bir sunucu. Veritabanı Kanada’daki bu bağlı kuruluşlardan biri tarafından barındırılıyordu.
Fowler, WIRED’e “Bu, suçlular için rüya gibi bir dilek listesi gibi çünkü çok farklı türde kimlik bilgileriniz var” dedi. “Bir bilgi hırsızı en mantıklısı olurdu. Veritabanı, sanki onu kuran kişi çok fazla veri toplamayı bekliyormuş gibi büyük günlükleri indekslemek için yapılmış bir formattaydı. Ve birçok farklı ülkeden tonlarca hükümet girişi vardı.”
48 milyon Gmail kimlik bilgilerine ek olarak, hazinede ayrıca Yahoo hesapları için yaklaşık 4 milyon, Microsoft Outlook için 1,5 milyon, Apple’ın iCloud’u için 900.000 ve “.edu” akademik ve kurumsal hesapları için 1,4 milyon bilgi bulunuyordu. Ayrıca TikTok için yaklaşık 780.000, OnlyFans için 100.000 ve Netflix için 3,4 milyon oturum açıldı. Veriler herkese açıktı ve yalnızca bir web tarayıcısı kullanılarak aranabilirdi.
Fowler, “Her şeyi ve her şeyi yakalamış gibi görünüyordu, ancak ilginç olan şey, sistemin her günlüğü bir tanımlayıcıyla otomatik olarak sınıflandırıyor gibi görünmesiydi ve bunlar, yeniden ortaya çıkmayan benzersiz tanımlayıcılardı” diyor. “Sistem aramayı kolaylaştırmak için verileri otomatik olarak düzenliyormuş gibi görünüyordu.
Fowler, bilgilerin kimin sahibi olduğunu veya hangi amaçla kullanıldığını belirlemediğini vurgulasa da, dolandırıcılıklarına dayalı olarak bilgilerin farklı alt kümeleri için ödeme yapan siber suçlu müşteriler için veriler sorgulanıyorsa böyle bir yapı anlamlı olacaktır.
Hassas bilgileri herkesin erişimine açık eden, yanlışlıkla güvenli olmayan ve halka açık olarak erişilebilen çevrimiçi veritabanlarının görünüşte sonsuz bir akışı var. Ancak veri komisyoncuları ve siber suçlular giderek daha fazla hazine topladıkça, potansiyel ihlallerin riski de artıyor. Bilgi hırsızlığı yapan kötü amaçlı yazılımlar, saldırganların oturum açma kimlik bilgilerinin ve diğer hassas verilerin toplanmasını otomatikleştirmesini basit ve güvenilir hale getirerek soruna katkıda bulundu.
Güvenlik firması Recorded Future’da tehdit istihbaratı analisti olan Allan Liska, “Bilgi hırsızları yeni suçlular için çok düşük bir giriş engeli oluşturuyor” diyor. “Popüler bir altyapıyı kiralamanın ayda 200 ile 300 dolar arasında bir maliyete sahip olduğunu gördük, dolayısıyla suçlular bir araba ödemesinden daha düşük bir ücret karşılığında ayda yüz binlerce yeni kullanıcı adına ve şifreye erişim sağlayabilir.”