Have I Been Pwned, Naz.API veri kümesindeki çalıntı hesaplarla ilişkili yaklaşık 71 milyon e-posta adresini veri ihlali bildirim hizmetine ekledi.
Naz.API veri kümesi, kimlik bilgisi doldurma listeleri ve bilgi çalan kötü amaçlı yazılımlar tarafından çalınan veriler kullanılarak derlenen 1 milyar kimlik bilgisinden oluşan devasa bir koleksiyondur.
Kimlik bilgisi doldurma listeleri, diğer sitelerdeki hesapları ihlal etmek için kullanılan önceki veri ihlallerinden çalınan kullanıcı adı ve şifre çiftlerinin koleksiyonlarıdır.
Bilgi çalan kötü amaçlı yazılımlar, virüs bulaşmış bir bilgisayardan tarayıcılara, VPN istemcilerine ve FTP istemcilerine kaydedilen kimlik bilgileri de dahil olmak üzere çok çeşitli verileri çalmaya çalışır. Bu tür kötü amaçlı yazılımlar ayrıca SSH anahtarlarını, kredi kartlarını, çerezleri, tarama geçmişini ve kripto para cüzdanlarını çalmaya çalışır.
Çalınan veriler, “günlükler” adı verilen arşivlerde saklanan metin dosyalarında ve resimlerde toplanır. Bu günlükler daha sonra saldırgan tarafından toplanmak üzere uzak bir sunucuya yüklenir.
Kimlik bilgilerinin nasıl çalındığına bakılmaksızın, kurbanın sahip olduğu hesapları ihlal etmek için kullanılır, siber suç pazarlarındaki diğer tehdit aktörlerine satılır veya bilgisayar korsanlığı topluluğu arasında itibar kazanmak için bilgisayar korsanı forumlarında ücretsiz olarak yayınlanır.
Naz.API veri kümesi
Naz.API’nin, kimlik bilgisi doldurma listelerinden ve bilgi hırsızlığı yapan kötü amaçlı yazılım günlüklerinden derlenen 1 milyar satırdan fazla çalıntı kimlik bilgisi içerdiği iddia edilen bir veri kümesidir. Naz.API veri kümesi adının “Naz” kelimesini içermesine rağmen ağa bağlı depolama (NAS) cihazlarıyla ilgili olmadığı unutulmamalıdır.
Bu veri seti bir süredir veri ihlali topluluğunda dolaşıyordu ancak illicit.services adı verilen açık kaynaklı istihbarat (OSINT) platformunu desteklemek için kullanıldıktan sonra kötü şöhrete kavuştu.
Bu hizmet, ziyaretçilerin adlar, telefon numaraları, e-posta adresleri ve diğer kişisel veriler dahil olmak üzere çalınan bilgilerin yer aldığı bir veritabanında arama yapmasına olanak tanır.
Hizmet, Doxxing ve SIM değiştirme saldırıları için kullanıldığına dair endişeler nedeniyle Temmuz 2023’te kapatıldı. Ancak operatör hizmeti Eylül ayında yeniden etkinleştirdi.
Illicit.services çeşitli kaynaklardan gelen verileri kullanıyor ancak en büyük veri kaynaklarından biri, az sayıda kişi arasında özel olarak paylaşılan Naz.API veri kümesinden geliyordu.
Naz.API verilerindeki her satır, aşağıda gösterildiği gibi bir oturum açma URL’sinden, oturum açma adından ve bir kişinin cihazından çalınan ilgili şifreden oluşur.
Kaynak: Troy Hunt
Naz.API HIBP’ye eklendi
Bugün Have I Been Pwned’in yaratıcısı Troy Hunt, ünlü bir teknoloji şirketinden aldığı Naz.API veri setini veri ihlali bildirim hizmetine eklediğini duyurdu.
Hunt’ın bir blog gönderisi şöyle açıklıyor: “İşte işin arka planı: Bu hafta, popüler bir bilgisayar korsanlığı forumunda yayınlanan kimlik bilgisi doldurma listesine dayalı olarak hata ödülü bildirimi alan tanınmış bir teknoloji şirketi benimle iletişime geçti.”
“Bu gönderi neredeyse 4 ay öncesine dayanmasına rağmen şimdiye kadar radarıma girmemişti ve kaçınılmaz olarak adı geçen teknoloji şirketine de gönderilmemişti.”
“(Çok büyük) kullanıcı tabanlarına karşı gerekli önlemleri alacak kadar ciddiye aldılar, bu da bana konuyu ortalama kredi doldurma listenizden daha fazla araştırmam için yeterli neden verdi.”
Kaynak: BleepingComputer
Hunt’a göre Naz.API veri seti, toplam 104 GB boyutunda ve 70.840.771 benzersiz e-posta adresi içeren 319 dosyadan oluşuyor.
Bununla birlikte, her e-posta adresi için 70 milyon benzersiz e-posta olmasına rağmen, çalınan farklı sitelere ait kimlik bilgilerine ilişkin başka birçok kayıt olması muhtemeldir.
Hunt, Naz.API verilerinin muhtemelen eski olduğunu, çünkü bu verilerin kendisinin ve diğer HIBP abonelerinin geçmişte kullanılan şifrelerini içerdiğini söylüyor. Hunt, şifresinin 2011 yılında kullanıldığını, bunun da bazı verilerin 13 yaşın üzerinde olduğu anlamına geldiğini söylüyor.
Kimlik bilgilerinizin Naz.API veri kümesinde olup olmadığını kontrol etmek için Have I Been Pwned’de arama yapabilirsiniz. E-postanızın Naz.API ile ilişkili olduğu tespit edilirse site, bir noktada bilgisayarınıza bilgi çalan kötü amaçlı yazılım bulaştığını belirterek sizi uyaracaktır.
Kaynak: BleepingComputer
Ne yazık ki, HIBP sizi e-postanızın Naz.API’de olduğu konusunda uyarsa bile, hangi web sitesi kimlik bilgilerinin çalındığını size söylemez.
Bu veri kümesi kısmen bilgi çalan kötü amaçlı yazılımlarla bağlantılı olduğundan, kayıtlı tüm hesaplarınızın şifrelerini değiştirmeniz önerilir.
Buna kurumsal VPN’ler, e-posta hesapları, banka hesapları ve diğer kişisel hesapların şifreleri dahildir.
Ayrıca, bilgi hırsızları kripto para cüzdanlarını çalmaya çalıştıkça, varsa herhangi bir kriptoyu derhal başka bir cüzdana aktarmalısınız.
Hangi hesapların açığa çıktığı hakkında daha ayrıntılı bilgi için şu anda herkesin kullanmaya çalıştığı Illicit.Services web sitesini deneyebilirsiniz.