Milyonlarca, muhtemelen milyarlarca bireye ilişkin 26 milyar kayıttan oluşan 12 TB (terabayt) çalınmış kişisel kimlik bilgilerinin (PII) ve kimlik bilgilerinin keşfi, tarihteki en büyük sızıntı olabilir ve tüm ihlallerin anası olarak adlandırılıyor. (MOAB).
Veri seti, SecurityDiscovery.com ve Cybernews’ten araştırmacı Bob Diachenko tarafından keşfedildi ve dünya çapındaki sosyal medya platformlarından ve çevrimiçi hizmetlerden alınan bilgileri içeriyor. Toplamda 1,5 milyar rekorun çoğu Çinli sosyal medya ve oyun devi Tencent’ten geliyor; 504 milyonu Tencent’in yurttaşları Weibo’dan, 360 milyonu sosyal medya öncüsü MySpace’den ve 281 milyonu da X/Twitter’dan geliyor.
Ağır etkilenen diğer çevrimiçi kuruluşlar arasında Adobe, Dropbox, LinkedIn, MyFitnessPal ve Telegram’ın yanı sıra birçok devlet kurumu yer alıyor. Ancak etkilenen kuruluşların çoğunluğu çok daha küçük ve daha az tanınıyor. Tam aranabilir bir dizine Cybernews aracılığıyla ulaşılabilir.
Araştırmacılar, verilerin çoğunun, bu konuyla ilgilenen biri tarafından, muhtemelen bir ilk erişim komisyoncusu (IAB) tarafından, daha sonra bu verilere erişimi siber suçlulara satacak olan çeşitli küçük verilerden derlenmiş gibi göründüğünü söyledi.
Birlikte ele alındığında, çok sayıda yinelenen bilgi içeren toplu veriler, hedefli kimlik hırsızlığı, kimlik avı planları, siber saldırılar ve kurbanların çevrimiçi hesaplarının ele geçirilmesi için kullanılabilir.
Önemli sayıda kişinin birden fazla çevrimiçi hizmette kullanıcı adlarını ve kimlik bilgilerini yeniden kullanmaya devam etmesi ve bunların tamamının tehlikeye girme riskiyle karşı karşıya kalması göz önüne alındığında, saldırının kapsamı özellikle tehlikelidir.
Comforte AG’nin siber güvenlik uzmanı Erfan Shadabi, “Araştırmacıların kimlik bilgileri doldurma saldırıları tsunamisi riskini vurgulamasıyla MOAB’ın potansiyel tüketici etkisi eşi benzeri görülmemiş bir durum” dedi.
Eset’in küresel siber güvenlik danışmanı Jake Moore, “Siber suçluların bu kadar sınırlı bilgilerle neler başarabileceklerini asla küçümsememeliyiz” diye ekledi.
“Yıllarca müşterilerinin verilerini ve güvenini yanlış kullandıktan sonra, bu devasa veri setine yüz milyonlarca kayıtla katkıda bulunan tek bir şirket bile, bu gelişme karşısında şokmuş numarası yaparak aynı müşterilere hakaret edemez.”
Richard Bird, İzlenebilir Yapay Zeka
“Kurbanların çalınan şifrelerin sonuçlarının farkında olması ve buna karşılık gerekli güvenlik güncellemelerini yapması gerekiyor. Bu, şifrelerin değiştirilmesini, ihlalin ardından kimlik avı e-postalarına karşı tetikte olunmasını ve etkilenmiş olsun veya olmasın tüm hesapların iki faktörlü kimlik doğrulamayla donatılmasını sağlamayı içerir.
“Birçok sistem platformları paylaşıyor ve en son saldırılarla agresif bir şekilde deneniyor. Pek çok ağ büyük ölçüde güncellemelere bağımlıdır, ancak bir güvenlik açığı tespit edildiğinde, veriler tehlikeye girmeden önce sorunu düzeltmek için zamana karşı bir yarış yapılır. Alternatif olarak, saldırganlar genellikle bir sistemi hedef alabilir ve gizli modda radar altında kalarak faaliyetleri izleyebilir ve neye, ne zaman saldıracaklarına karar verebilirler.”
Shadabi, Computer Weekly’ye e-postayla gönderilen yorumlarda, ilgili kuruluşlar için, ihlalin boyutunun, güvenliğe veri merkezli yaklaşımlar da dahil olmak üzere, hassas bilgileri koruyabilecek çözümlere yatırım yapılması konusunda özellikle güçlü bir argüman oluşturduğunu söyledi.
“Tokenleştirme [is] önemli bir çözüm olarak ortaya çıkıyor” dedi. “Hassas veriler yerine farklı tokenlar kullanan tokenizasyon, ihlal durumunda bile verileri yetkisiz taraflar için kullanılamaz hale getiriyor. Bu önleyici eylem, veri korumasını güçlendirirken istenmeyen erişimden kaynaklanan zarar olasılığını da azaltır.”
Traceable AI’nin güvenlik şefi Richard Bird, verilerin çalındığı kuruluşlara yönelik sert sözler söyledi.
“Yıllarca müşterilerin verilerini ve güvenini yanlış kullandıktan sonra, bu devasa veri setine yüz milyonlarca kayıtla katkıda bulunan birçok şirket listesindeki tek bir şirket bile, bu gelişme karşısında şok numarası yaparak aynı müşterilere hakaret edemez” dedi.
“Bu şirketler ‘ancak hiçbir kredi kartı veya banka bilgisinin çalınmadığını’ iddia ederken, kötü adamlar, araştırmacıların bile ‘son derece tehlikeli’ olarak adlandırdığı mega bir özel veri listesi oluşturuyor. Bu ve diğer şirketlerin sergilediği başarısız yönetim karşısında, bu verilere ne olacağını düşünüyorlardı?
“Öyleyse şu soru hala geçerli: Bunun gibi bir liste, şirketleri ve hükümetleri başlarını kumdan çıkarmaya zorlayacak kadar büyük olacak mı?”
Veri ihlallerine boyun eğdi
“Çoğumuz özel bilgilerimizin bir kısmını internette herkesin kullanımına sunuyoruz. Bu hayatın üzücü bir gerçeği; özel bilgilerimiz artık özel değil”
Roger Grimes, KnowBe4
Diğer siber güvenlik sektörü gözlemcileri arasında, MOAB’ın yayıldığı haberinin ardından sessiz bir teslimiyet havası oluştu. KnowBe4 veri odaklı savunma savunucusu Roger Grimes, dünyadaki çoğu insanın kişisel bilgilerinin en azından bir kısmının, kimlik avı veya sosyal mühendislik yoluyla çalınmış veya bir veri ihlali nedeniyle sızdırılmış olsun, internette mevcut olduğunu doğru bir şekilde varsaydığını söyledi.
“Her iki durumda da çoğumuz özel bilgilerimizin bir kısmını internette herkesin kullanımına sunuyoruz. Bu hayatın üzücü bir gerçeği ve özel bilgilerimizin artık özel olmadığı bir dünyada büyümenin genç insanları ve genel olarak toplumu nasıl etkilediğini merak ediyorum” dedi Grimes.
“Sanırım artık dünyanın işleyiş şeklinin bu şekilde olduğunu kabul eden bir yanınız var. Aşırı karşı taraf, şebekeden çıkmak için ellerinden geldiğince tüm bilgilerini satıcılardan ve internetten kaldırmak için agresif bir şekilde çalışıyor. MOAB veritabanı her iki grubu da destekleyen başka bir veri noktasıdır” diye ekledi.