Naz.API veri kümesinden ele geçirilen hesaplarla bağlantılı neredeyse 71 milyon e-posta adresi, Have I Been Pwned’in veri ihlali bildirim hizmetine dahil edildi.
1 milyar kimlik bilgisinden oluşan Naz.API veri kümesi, kimlik bilgileri doldurma listelerinden ve bilgi çalan kötü amaçlı yazılımların çaldığı verilerden elde edilen kapsamlı bir derlemedir. Kimlik bilgisi doldurma listeleri, önceki veri ihlallerinden elde edilen kullanıcı adı ve şifre çiftlerini içerir ve farklı platformlardaki hesapların güvenliğini tehlikeye atmaya yönelik araçlar olarak hizmet eder.
Have I Been Pwned?’in yaratıcısı Troy Hunt tarafından yazılan bir blog yazısına göre, veri kümesi toplam 104 GB boyutunda 319 dosya ve 70.840.771 benzersiz e-posta adresi içeriyordu.
Pentest People’ın Baş Danışmanı Josh Hickling, bu eklemenin neden önemli olduğunu açıklıyor:
“Bunun gibi bir veritabanına eklenen kayıtlar endişe verici olabilir, özellikle de kimlik bilgileri hassas bir hizmete erişim sağlıyorsa. Kamuoyuna etki açısından bakıldığında bu, açıklanan kimlik bilgilerinin nereye erişim sağlayacağına bağlı olacaktır. Saldırganlar, Facebook, Google Mail, Çevrimiçi Bankacılık vb. gibi çeşitli çevrimiçi hizmetlerde kimlik bilgisi doldurma saldırıları gerçekleştirecek ve etkilenen hizmetin arkasında ne varsa ona erişmek için açıklanan kimlik bilgilerini sağlayacak.”
Şöyle devam ediyor: “Daha da endişe verici olanı, kimlik bilgilerinin birden fazla hizmette yeniden kullanılması halinde, internetteki birden fazla hesaba erişim sağlanması olabilir.”
Compareitech Tüketici Gizliliği Avukatı Paul Bischoff şunları söylüyor:
“Naz.api, siber suçluların birden fazla veri ihlalinden ve kamu kaynaklarından gelen verileri potansiyel kurbanların ayrıntılı profillerini oluşturmak için nasıl birleştirebileceğinin iyi bir örneğidir. Bu tür veri kümeleri zaman geçtikçe büyüyecek ve daha karmaşık hale gelecek ve siber suçluların kurbanları daha etkili bir şekilde bulmasına ve hedeflemesine olanak tanıyacak. Bu durumda siber suçlular, veritabanında açığa çıkan şifreleriniz olup olmadığını görmek için Naz.api’yi kontrol ediyor ve ardından bu şifreleri diğer hizmetlere yönelik kimlik bilgisi doldurma saldırılarında kullanıyor.”
KnowBe4’ün önde gelen güvenlik farkındalığı savunucusu Javvad Malik, şifre saldırılarının neden yaygın olduğunu açıklıyor:
“Şifreler birçok suçlu için en önemli meyve olmaya devam ediyor, bu nedenle şifre çalan kötü amaçlı yazılımlar bu kadar popüler. Hesaplardan taviz vermek isteyenler için iyi bir yatırım getirisi sağlar. Bu nedenle insanların yalnızca güçlü şifreler seçmesine güvenmememiz önemlidir, çünkü eğer bu şifre ele geçirilirse geriye çok az koruma kalır. Bunun yerine, insanları şifre yöneticileri kullanmaya teşvik etmek ve web sitelerinde MFA’yı uygulamak, hesapları güvence altına almanın tercih edilen yoludur. Ayrıca web siteleri, suçluların işini daha da zorlaştırmak için şifre doldurma veya kaba kuvvet saldırılarını tespit edip engelleyebilecek kontrolleri de dikkate almalıdır.”
Pixel Privacy Tüketici Gizliliği Avukatı Chris Hauk şunları tavsiye ediyor:
“Herhangi bir internet kullanıcısına ilk tavsiyem, e-posta adresleri bir veri ihlaline dahil olduğunda bildirim almak üzere Have I Been Pwned web sitesini ziyaret etmeleridir. Şu anda kullandıkları veya geçmişte kullandıkları her e-posta adresi için bunu yapmanızı şiddetle tavsiye ederim. Bu, kullanıcıların “pwned” olduklarında uyarılmasına yardımcı olur.
CyberSmart CEO’su ve Kurucu Ortağı Jamie Akhtar da bu noktayı tekrarlıyor ve etkilenip etkilenmediğinizi kontrol etmenin neden önemli olduğunu vurguluyor:
“Naz.API veri kümesinin açığa çıkardığı bilgilerin çoğu muhtemelen güncelliğini kaybetmiş olsa da, listede görünüp görünmediğinizi kontrol etmeye değer. Siber suçluların bu verileri daha fazla saldırı başlatmak için kullanmaları garantilidir, bu nedenle üzgün olmaktansa tedbirli olmak daha iyidir.
Bunu yapmak için Have I Been Pwned’de bir arama yapın. E-postanız ilişkilendirilmişse site, bir noktada cihazınıza kötü amaçlı yazılım bulaştığı konusunda sizi uyarmalıdır. Ayrıca kullandığınız her hesapta çok faktörlü kimlik doğrulamayı (MFA) kullanmanızı öneririz (eğer henüz yapmadıysanız). MFA size ekstra bir güvenlik katmanı sağlıyor; bu, güvenliğiniz ihlal edilmiş olsa bile siber suçluların hesaplarınıza erişmesini çok daha zorlaştıracağı anlamına geliyor.”
İşletmelere yönelik tavsiyelerde bulunan Salt Security Saha CTO’su Nick Rago şunları söylüyor:
“Kuruluşlar açısından, kullanıcılarınız için MFA’yı zorunlu tutun. Özellikle uygulamalarınız hassas verileri işliyorsa bunu isteğe bağlı yapmayın. Kötü niyetli düşmanca davranışları tespit etmek ve bunlara karşı koruma sağlamak için uygun savunmalara sahip olduğunuzdan emin olun. Tüketicinizin dijital güvenliği de sorumluluğunuzun bir parçası.”
Comforte AG’nin Siber Güvenlik Uzmanı Erfan Shadabi bu noktayı tekrarlıyor:
“Kuruluşlar, kullanıcı verilerinin güvenliğini sağlama sorumluluğunun yalnızca düzenlemelere uymanın ötesine geçtiğini anlamalıdır; kullanıcıların kendilerine duyduğu güveni korumak bir zorunluluktur. Kullanıcı verilerinin özünde korunmasına öncelik veren veri merkezli bir güvenlik stratejisinin benimsenmesi çok önemli bir ilk adımdır.”