Have I Been Pwned, yakın zamanda The Post Millennial muhafazakar haber web sitesinin hacklenmesiyle verileri sızdırılan 26.818.266 kişinin bilgilerini ekledi.
Post Millennial, aynı zamanda Amerikan ‘Human Events’ haber platformunu da işleten Human Events Media Group’a ait muhafazakar Kanadalı bir çevrimiçi haber dergisidir.
Bu ayın başlarında her iki haber platformu da saldırıya uğradı ve sitelerinin ön sayfaları The Post Millennial’ın editörü Andy Ngo tarafından yazıldığını iddia eden sahte mesajlarla tahrif edildi.
Saldırıların bir parçası olarak tehdit aktörleri, şirketin e-posta listelerini, abone veri tabanını ve şirketin yazarları ve editörlerinin ayrıntılarını çaldıklarını ve tahrif edilmiş sayfalarda paylaşılan çalıntı verilerin bağlantılarını paylaştıklarını iddia ediyor.
Veriler hızlı bir şekilde çevrimiçi olarak yayılıyor, torrentlerde ve hack forumlarında paylaşılıyor, tehdit aktörlerinin ve diğerlerinin verileri kolayca indirmesine olanak tanıyor.
Açığa çıkan veriler aşağıdaki bilgi türlerini içerir:
- Tam İsimler
- E-mail adresleri
- Kullanıcı adları
- Hesap Şifreleri
- IP adresleri
- Telefon numaraları
- Fiziksel adresler
- Cinsiyetler
Bu verilerin site yazarlarına, editörlerine ve abonelerine ait olduğu iddia ediliyor ve bu veriler, açığa çıkan kişiler için önemli gizlilik ve güvenlik riskleri oluşturabilir.
Dün Troy Hunt, verileri Have I Been Pwned veri ihlali bildirim hizmetine ekledi ve verilerin doğrudan Human Events veya The Post Millennial’dan çalındığının doğrulanmadığını belirtti.
Sızan veriler önemli sayıda kullanıcıya ait olduğundan Hunt, potansiyel olarak maruz kalanları uyarmak için bu verileri HIBP’ye eklemeye karar verdi.
“İhlal, web sitesinin ve aralarında yüzlerce yazar ve editörün (IP, fiziksel adres ve e-postanın açıkta olduğu), on binlerce site abonesinin (isim, e-posta, kullanıcı adı) bulunduğu 3 farklı veri kümesine gönderilen bağlantıların tahrif edilmesiyle sonuçlandı. HIBP’nin gönderisinde, “telefon ve düz metin şifresi açığa çıktı) ve The Post Millennial tarafından kullanıldığı iddia edilen birkaç bin posta listesindeki on milyonlarca e-posta adresi (bu bağımsız olarak doğrulanmadı)” yazıyor.
“Posta listeleri, mutlaka The Post Millennial tarafından yürütülmeyen çeşitli kampanyalardan alınmış gibi görünüyor ve ad, telefon ve fiziksel adres (kampanyaya bağlı olarak) dahil olmak üzere çeşitli farklı kişisel özellikler içeriyor.”
Gibi Troy Hunt tarafından tweet atıldıVeriler The Post Millennial tahrifatı kapsamında sızdırılmış olsa da nereden kaynaklandığı belli değil.
Bunu yazdığım sırada The Post Millennial, sitenin tahrif edilmesine ilişkin veya abonelerini verilerin açığa çıkmış olabileceği konusunda uyaran bir kamu açıklaması yayınlamadı.
BleepingComputer yorum almak için hem The Post Millennial hem de Human Events ile iletişime geçti ancak bir yanıt alamadı.
Bu arada eğer bahsi geçen haber kaynaklarına abone iseniz şifrelerinizi sıfırlayın ve hesap hareketlerinizi yakından takip edin. Ayrıca tüm iletişimlere (e-posta, çağrı, SMS) dikkatli davranın.