PayPal müşterilerine bu sabah yayınlanan bir güvenlik bildirimi, 35.000 kadar müşterinin bir kimlik bilgisi doldurma saldırısının kurbanı olduğunu ortaya çıkardı. Kimlik bilgisi doldurma saldırıları, kötü niyetli kişilerin bir hesaba girmek için sistematik olarak kullanıcı adı ve parola kombinasyonlarını denemesini içerir. Bu, PayPal’ın kendisinin değil, yalnızca etkilenen müşterilerin hesaplarının saldırıya uğradığı anlamına gelir.
Bunun gibi kimlik bilgisi doldurma saldırıları, güvenlik endüstrisinin tahmin edilmesi pek mümkün olmayan benzersiz, karmaşık parola cümleleri kullanarak iyi parola hijyeni konusundaki ısrarının ana itici gücüdür.
“Her web sitesinin bir kullanıcının bir hesaba sahip olmasını istediği çevrimiçi çağda, insanların neden aynı kullanıcı adı ve şifre kombinasyonunu yeniden kullandıklarını anlamak kolaydır. Araştırmalar, sızdırılan kimlik bilgilerinin %0,1’inin başka bir platformda geçerli olacağını gösteriyor – Bu küçük bir miktar gibi görünse de, sızdırılan kimlik bilgilerinin sayısı milyarları buluyor (haveibeenpwned listesi gibi hizmetler ihlal bazında sayılır),” dedi Mike Varley, tehdit danışmanı Adarma.
“Kimlik bilgisi doldurma, diğer platformlardan geçerli kimlik bilgileri kullanmaları bakımından kaba kuvvet saldırılarından farklıdır. Bunu birden çok farklı kaynaktan gelen bir botnet ile birleştirin ve coğrafi bloklama ve/veya hız sınırlama gibi çoğu oturum açma korumasını yenebilecek bir saldırı elde edin,” diye devam etti.
PayPal’ın kendisi saldırıya uğramamasına rağmen, bazı uzmanlar platformların kullanıcıları adına daha iyi parola uygulamaları gerçekleştirmesi gerektiğini ifade ettiler.
“Kimlik bilgisi doldurma saldırılarını önlemek için, bulut tabanlı platformlar daha gelişmiş cihaz doğrulama sistemleri uygulamalıdır, böylece saldırganlar şifreleri kaba kuvvetle test edemez. Keeper gibi güvenli bir parola yöneticisi, kullanılan cihazın kullanıcı tarafından doğrulanıp onaylanmaması durumunda bir hesapta parola girişimlerini engeller. CTO’su ve kurucu ortağı Craig Lurey, “Bu cihaz doğrulama sistemi, son kullanıcının hesabını korumak için manuel adımlardan geçmesini gerektirmeden doğal olarak ikinci bir faktör yaratıyor” dedi. Kaleci Güvenliği.