Geçen hafta bir güvenlik araştırmacısı bana binlerce Telegram kanalından alınan 122 GB veriyi gönderdi.
2B satırlı 1,7 bin dosya ve 361 milyon benzersiz e-posta adresi içeriyordu; bunların 151 milyonu daha önce Have I Been Pwned’de (HIBP) görülmemişti.
Bu adreslerin yanında şifreler ve çoğu durumda verilerin ait olduğu web sitesi de vardı.
Daha önce görülmeyen çok sayıda e-posta adresi olduğundan ve yaptığım tüm kontrollere göre bunların yasal veriler olduğundan bugün HIBP’ye yükledim.
Üst düzey genel bakış budur. Detaylar burada.
Telegram: Veri İhlallerinin Yetişme Alanı
Telegram, bir “kanal” kurmayı ve onu ziyaret etmek isteyenlerle bilgi paylaşmayı kolaylaştıran popüler bir mesajlaşma platformudur.
Telegram’ın açıkladığı gibi hizmet basit, özel ve güvenlidir.
Bu nedenle veri ihlalleriyle ilgili içerikler de dahil olmak üzere içeriği anonim olarak paylaşmak isteyenler arasında oldukça popüler hale geldi.
Daha önce HIBP’ye yüklediğim ihlallerin çoğu, bu tür verileri platformda yayınlamanın kolay olması nedeniyle Telegram aracılığıyla dağıtıldı.
Troyhunt’un bloguna göre Telegram’da yayınlanan veriler genellikle e-posta adresleri veya kullanıcı adları ve şifrelerin birleşiminden oluşan “kombolistler” olarak görünüyor.
Bu kombinasyonlar, çeşitli hizmetlerde kimlik doğrulaması yapmak için kullanılır ve saldırganlar genellikle bu listeleri, hesaplara toplu olarak erişmeye çalıştıkları “kimlik bilgisi doldurma” saldırıları düzenlemek için kullanır.
Yukarıdaki liste, kombinasyonları ilgili e-posta servis sağlayıcılarına bölüyor.
İhlalin Boyutu
Geçen hafta bana gönderilen veriler 518 farklı kanaldan alınmış ve yukarıdakine benzer 1.748 ayrı dosyadan ibaretti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bazı dosyalarda veri yoktur (0kb), diğerleri ise on milyonlarca satırdan oluşan gigabayt boyutundadır. Örneğin en büyük dosya şu şekilde başlar:
Bu, güvenliği ihlal edilmiş makinelerdeki web sitelerine girildiğinde kimlik bilgileri elde eden bilgi çalan kötü amaçlı yazılımların sonucuna çok benziyor.
Örneğin ilk kayıt, birisi Nike’a giriş yapmaya çalıştığında tuzağa düşürülmüş gibi görünüyor.
Verileri Doğrulamak
Bu verilerin doğruluğunu anlamak için çeşitli web sitelerindeki çeşitli e-posta adreslerini test ettim.
Örneğin, Nike ana sayfasındaki hırsız günlüğünden bir e-posta adresi girilmesi, adresin bir hesaba sahip olduğunu doğruladı.
Benzer şekilde Footlocker ve İtalyan lastik satıcısı gibi diğer hizmetler de test edilen hesapların varlığını doğruladı.
Abone Geri Bildirimi
Verilerin meşruluğunu doğrulamak için mevcut HIBP abonelerine ulaştım.
Halihazırda 13 farklı ihlalde bulunan bir abone, ayrıntıların doğruluğunu doğruladı ancak bunların daha önceki veri ihlallerinde sızdırıldığını kaydetti.
Önceki 7 ihlalde başka bir abone, kimlik bilgilerinin tanıdık olduğunu ve muhtemelen önceki ihlallerden yeniden kullanıldığını tespit etti.
Büyüleyici bir vaka, Epic Games hesabı olan bir abonenin kızıyla ilgiliydi.
Kimlik bilgileri eski hesabıyla eşleşerek verilerin meşruluğunu doğruladı.
Görünmeyen adreslerin etkisini anlamak için daha önce hiç ihlalde bulunmayan HIBP aboneleriyle iletişime geçtim.
Bu, yeniden tasarlanmış önceki olayları ortadan kaldırdı ve verilerin öneminin daha net bir resmini sağladı.
Yanıtlar, verilerin meşruluğunu ve benzersizliğini doğruladı ve ihlalin geniş kapsamını vurguladı.
Telegram kanallarında 361 milyon benzersiz e-posta kimlik bilgilerinin sızdırılması, daha önce görülmemiş 151 milyon adresin artık HIBP’ye yüklenmesiyle önemli bir veri ihlalidir.
Bu olay, sağlam siber güvenlik önlemlerinin önemini ve kullanıcıların çevrimiçi kimlik bilgileri konusunda dikkatli olmaları gerektiğinin altını çiziyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo