Ben PWNED (HIBP), Bilgi Çalıştırıcı kötü amaçlı yazılım tarafından tehlikeye atılan 284 milyon e-posta adresini ihlal bildirim hizmetine dahil ettim.
Veriler, HIBP’nin 11 yıllık tarihindeki kötü amaçlı yazılımla ilgili en büyük veri kümesi kuruluşlarından birini işaretleyen “Alien Txtbase” olarak adlandırılan 1.5 TB’lık bir stealer günlüklerinden kaynaklanmaktadır.
Bu güncelleme, HIBP’nin deposunu 493 milyon benzersiz web sitesi e-posta çifti içerecek şekilde genişletir ve kuruluşların kimlik temelli saldırılarla mücadele etmeleri için kritik araçlar sunar.
New stealer logs: 23B rows of "ALIEN TXTBASE" logs with 284M unique email addresses have been added to HIBP. New APIs can now search these by email domain and the domain of the website they were captured on. 69% were already in @haveibeenpwned. Read more: https://t.co/33QN9ZhX9e
— Have I Been Pwned (@haveibeenpwned) February 25, 2025
Uzaylı Txtbase’in kökeni
Veri kümesi, stealer günlükleri dağıtan siber suçlular tarafından işletilen bir telgraf kanalından ortaya çıktı – Redline veya Vidar gibi kötü amaçlı yazılımlar tarafından hasat edilen kimlik bilgilerinin kaydedilmesi.
Bu günlükler tuş vuruşlarını, tarayıcı ile saklı şifreleri ve enfekte cihazlardan kimlik doğrulama çerezlerini yakalar.
HIBP’nin kurucusu Troy Hunt, kurban makinelerinden çıkarılan 23 milyar ham kimlik girişi içeren 744-File Corpus’u satın almak için uluslararası devlet kurumlarıyla işbirliği yaptı.
Doğrulama, hedef hizmetlere karşı çapraz referans girişlerini içeriyordu. Örneğin, günlüklerde listelenen Netflix hesapları, VPN’ler aracılığıyla ülkeye özgü oturum açma portallarına (örneğin, /ph-en /oturum açma) ulaşan parola sıfırlama akışları ile doğrulandı.
Hunt, yerel kimlik doğrulama uç noktalarına karşı girişleri test ederek, hem hesap varlığını hem de giriş bağlamlarını yakalamadaki kötü amaçlı yazılımların doğruluğunu onaylayarak onaylanmış coğrafi tutarlılığı onayladı.
How do people end up in stealer logs? By doing dumb stuff like this: “Around October I downloaded a pirated version of Adobe AE and after that a trojan got into my pc” pic.twitter.com/igEzOayCu6
— Troy Hunt (@troyhunt) August 5, 2024
Enterprise odaklı arama API’leri
HIBP, kuruluşların riskleri azaltmasına yardımcı olmak için PWNED 5 abonelik katmanı altında iki GraphQL API tanıttı:
Domain merkezli stealer günlük araması: Etki alanı yöneticilerinin tüm e -posta takma adlarını almasına izin verir (örn. John@ in [email protected])) ve DNS kontrollü alanlarından ilişkili web sitesi alanları (örn. Netflix.com). {“John” gibi json eşlemeleri çıktı: [“netflix.com”]}.
Web Sitesi Operatörü Arama: Netflix gibi servis sağlayıcıların, kullanıcılar alanlarına kimlik bilgileri girdiklerinde ve gibi dizileri döndüren tüm e -posta adreslerini starlayıcı günlüklerinde maruz bırakmasını sağlar. [“[email protected]”].
Bu API’lar, işletmelerin uzlaşılmış hesapları tanımlamasına ve çok faktörlü kimlik doğrulama veya şifre sıfırlamalarını uygulamasına izin vererek kimlik bilgisi-bürolama saldırısı vektörlerini ele alır.
Pwned 5 katman, fiyatlandırma sürekli erişim için 3.500 $ ‘dan başlayan 1.000 istek/dakikalık oran limiti sağlar.
HIBP’nin açık kaynaklı şifre ihlali deposu, Alien Txtbase’den ihale-kangaroo ve captainkangaroo gibi kalıplar da dahil olmak üzere 244 milyon yeni benzersiz şifre ekledi.
Hizmet artık 13 milyardan fazla tehlikeye atılmış kimlik bilgileri içeriyor ve aylık 10 milyar API talepleri, küresel olarak şifre politikalarını bilgilendiriyor. K-anonimlik modeli, kullanıcıların şifreleri kısmi SHA-1 karma önekleri aracılığıyla güvenli bir şekilde kontrol edebilmesini sağlar.
Siber güvenlik için çıkarımlar
Bu güncelleme, işletmelerin saldırı yüzey yönetimine nasıl yaklaşımını değiştirir:
- SOC ekipleri artık jenerik “üçüncü taraf ihlalleri” yerine belirli kötü amaçlı yazılım kampanyalarına kimlik bilgisi sızıntılarını izleyebilir.
- OKTA veya Microsoft Entra ID gibi kimlik sağlayıcıları, stealer-log kaynaklı kimlik bilgilerine karşı koşullu erişim politikalarını zorlaştırmak için eyleme geçirilebilir veriler kazanır.
- CISO Önceliklendirme: HIBP’nin IsstealerLog ihlali bayrağı ile kuruluşlar, toplu veritabanı dökümleri üzerinden doğrudan kötü amaçlı yazılım uzlaşmalarını içeren olayları tetikleyebilir.
Hunt, telgraf dağıtılan kütüklerin küresel stealer faaliyetinin bir kısmını temsil etse de, HIBP’ye entegre edilmesi, özel verileri kamuoyu bilincine dönüştürerek saldırganların ekonomik modellerini bozduğunu vurguladı.
Hizmet şimdi, devam eden kötü amaçlı yazılım işlemlerinden 10.000 yeni uzlaşmış hesap/dakika işlemekte ve kimlik temelli tehditlerin acımasız büyümesinin altını çizmektedir.
Alien Txtbase entegrasyonu, HIBP’nin bir ihlal bildirim aracından modern siber güvenlikteki kritik bir altyapı bileşenine evrimini örneklendiriyor.
Ham stealer günlüklerini eyleme geçirilebilir zekaya dönüştürerek HIBP, işletmeleri ve bireyleri hesap devralmalarını önlemek için donatıyor – ceza çabalarından doğan verilerin bile savunma için silahlandırılabileceğini sunuyor.
Hunt’un belirttiği gibi, bu corpus “birçok kanaldan sadece bir tanesidir”, ancak dahil edilmesi kötü amaçlı yazılım istihbaratına erişimi demokratikleştirmede çok önemli bir adımdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free