Sızan Parolalar ve Credential Stuffing: Veri İhlalinden Sonra Hesaplarınız Nasıl Ele Geçiriliyor
Bir siteye üye olduğunuz parola, o site sızdığında saldırganların eline geçer. Aynı parolayı başka yerlerde de kullandıysanız, saldırganlar bu bilgileri otomatik araçlarla diğer hesaplarınızda dener, buna credential stuffing denir. Sızan parolaların nereden geldiğini, hesapların nasıl otomatik ele geçirildiğini ve benzersiz parola, 2FA ve passkey ile nasıl korunacağınızı kaynaklı anlattık.
Sızan Parolalar ve Credential Stuffing: Veri İhlalinden Sonra Hesaplarınız Nasıl Ele Geçiriliyor
Hızlı Cevap: Her yıl çok sayıda site ve servis veri ihlaline uğrar ve kullanıcıların e-posta ile parola bilgileri saldırganların eline geçer. Bu sızan bilgiler internette ve dark web'de büyük listeler halinde dolaşır. Asıl tehlike burada başlar, çünkü çoğu insan aynı parolayı birden fazla yerde kullanır. Saldırganlar, bir sitede sızan e-posta ve parola çiftlerini otomatik araçlarla alıp başka sitelerde (banka, e-posta, sosyal medya) tek tek dener, buna credential stuffing (kimlik bilgisi doldurma) denir. Bir eşleşme bulduklarında hesabınıza girerler. Yani bir yerde sızan parolanız, aynı parolayı kullandığınız her yeri tehdit eder. Korunmanın yolu üç adımdır, her hesapta benzersiz bir parola kullanmak (parola yöneticisi ile), iki adımlı doğrulamayı (2FA) açmak, ve mümkün olan yerde parolanın yerini alan passkey teknolojisine geçmek.
Çoğu insan güvenliği tek bir güçlü parola seçmek sanır, ama asıl sorun parolanın gücü değil, aynı parolanın tekrar kullanılmasıdır. Parola, iki adımlı doğrulama ve passkey güvenliğinin genel çerçevesini parola, 2FA ve passkey güvenliği, NIST ve FIDO yazımızda anlattık. Bu yazı ise özellikle sızan parolaların ve credential stuffing saldırısının nasıl çalıştığına, yani hesapların gerçekte nasıl ele geçirildiğine odaklanır.
Parolalar nereden ve nasıl sızar
Sızan parolaların kaynağı, çoğu zaman sizin bir hatanız değildir. Üye olduğunuz bir site ya da servis veri ihlaline uğrar, ve o sitenin veritabanındaki kullanıcı bilgileri (e-posta, parola) saldırganların eline geçer. Bu ihlaller sürekli olur, küçük forumlardan büyük platformlara kadar.
Sızan bu bilgiler yok olmaz. Saldırganlar bunları toplar, birleştirir ve internette büyük listeler halinde paylaşır ya da satar. Bugün milyarlarca sızmış e-posta ve parola çifti dolaşımdadır. E-posta adresinizin daha önce bir ihlalde geçip geçmediğini kontrol edebileceğiniz servisler vardır, ve çoğu kişi kendi adresini kontrol ettiğinde birden fazla ihlalde göründüğünü şaşkınlıkla fark eder.
Credential stuffing, saldırı nasıl işler
Sızan bir liste tek başına tehlikelidir, ama asıl zarar credential stuffing ile gelir. Saldırgan şunu bilir, insanlar tembeldir ve aynı parolayı birçok yerde kullanır. Bu yüzden bir sitede sızan e-posta ve parola çiftlerini alır, otomatik araçlarla başka sitelerde dener.
Bu deneme elle değil, saniyede binlerce deneme yapabilen botlarla yapılır. Bot, sızan listeyi banka giriş sayfasında, e-posta servisinde, sosyal medyada ve e-ticaret sitesinde otomatik dener. Aynı parolayı o sitede de kullandıysanız, bot girer ve hesabınız ele geçer. Bu saldırı ucuzdur ve ölçeklenir, çünkü saldırgan tek bir kişiyi değil, milyonlarca çifti aynı anda dener.
| Aşama | Ne olur |
|---|---|
| İhlal | Bir site sızar, e-posta ve parolalar çalınır |
| Toplama | Sızan bilgiler listelere birleştirilir, dark web'de dolaşır |
| Deneme (stuffing) | Botlar bu çiftleri başka sitelerde otomatik dener |
| Ele geçirme | Aynı parolayı kullandığınız hesaplara girilir |
| İstismar | Dolandırıcılık, veri çalma, kimlik hırsızlığı, fidye |
Ele geçen bir hesabın adli olarak nasıl incelendiğini ve nasıl geri kazanıldığını hesap ele geçirme, account takeover yazımızda ele aldık.
Neden güçlü parola tek başına yetmez
İnsanların çoğu, güvenli olduğunu düşündüğü karmaşık bir parola seçer, ama sonra onu on farklı yerde kullanır. Sorun şudur, o parola on yerden herhangi birinde sızarsa, diğer dokuz yer de tehlikeye girer. Yani parolanın karmaşıklığı, tekrar kullanıldığında bir şey ifade etmez.
Bu yüzden modern güvenlik önerisi değişti. Artık asıl vurgu, parolayı sık değiştirmek ya da aşırı karmaşık yapmak değil, her hesapta benzersiz bir parola kullanmaktır. NIST'in güncel parola rehberi de bu yöndedir, uzunluk ve benzersizlik, gereksiz karmaşıklık kurallarından daha önemlidir.
Korunmanın üç adımı
1. Her hesapta benzersiz parola, parola yöneticisi ile. Onlarca farklı ve güçlü parolayı akılda tutmak imkansızdır, bu yüzden bir parola yöneticisi kullanın. Parola yöneticisi her hesap için farklı, uzun ve rastgele bir parola üretir ve saklar, siz yalnızca tek bir ana parolayı hatırlarsınız. Böylece bir site sızsa bile, o parola başka hiçbir yerde işe yaramaz.
2. İki adımlı doğrulama (2FA). Bir hesaba iki adımlı doğrulama eklediğinizde, saldırgan parolanızı bilse bile ikinci adım (telefonunuzdaki kod ya da uygulama onayı) olmadan giremez. Bu, credential stuffing saldırılarının büyük çoğunluğunu tek başına durdurur. Özellikle e-posta, banka ve iş hesaplarında mutlaka açık olmalıdır.
3. Passkey, parolanın geleceği. Passkey, parolanın yerini alan, kriptografik ve oltalamaya dayanıklı bir giriş yöntemidir. Passkey ile sızacak bir parola yoktur, çünkü giriş cihazınızdaki bir anahtarla yapılır ve bu anahtar hiçbir sunucuya gönderilmez. Passkey destekleyen her serviste bu yönteme geçmek, credential stuffing'i tamamen etkisiz kılar.
Bir işletme için ne anlama gelir
Credential stuffing yalnızca bireyleri değil, işletmeleri de vurur. Çalışanlarınız iş hesaplarında kişisel hayatlarındaki parolaları tekrar kullanırsa, o parola bir yerde sızdığında şirket sistemleriniz risk altına girer. Bu yüzden kurumsal ortamda zorunlu iki adımlı doğrulama, parola yöneticisi ve sızmış parola izleme önemlidir. Bir müşteri hesabı ele geçer ve kişisel veri sızarsa, bu KVKK kapsamında bir ihlaldir, KVKK veri ihlali bildirimi, 72 saat yazımıza bakın. Şirket içi savunmanın genel çerçevesini şirket içi siber saldırı nasıl önlenir yazımızda anlattık.
Sıkça Sorulan Sorular
Parolam güçlü, yine de risk altında mıyım? Evet, eğer o parolayı birden fazla yerde kullanıyorsanız. Güçlü bir parola bile bir yerde sızarsa, aynı parolayı kullandığınız tüm hesaplar tehlikeye girer. Önemli olan güç değil, benzersizliktir.
E-postamın sızıp sızmadığını nasıl öğrenirim? E-posta adresinizin bilinen veri ihlallerinde geçip geçmediğini kontrol eden servisler vardır. Adresiniz görünüyorsa, o hesaplarda kullandığınız parolaları hemen değiştirin ve iki adımlı doğrulama açın.
İki adımlı doğrulama credential stuffing'i tamamen durdurur mu? Büyük çoğunluğunu durdurur, çünkü saldırgan parolayı bilse bile ikinci adım olmadan giremez. En güçlü koruma ise passkey kullanmaktır, çünkü sızacak bir parola kalmaz.
Parola yöneticisi güvenli mi? Evet, iyi bir parola yöneticisi verilerinizi güçlü şifreleme ile saklar ve her hesaba benzersiz parola üretmenizi sağlar. Ana parolanızı güçlü seçmek ve parola yöneticisinde iki adımlı doğrulama açmak koşuluyla, tek tek zayıf parolalar kullanmaktan çok daha güvenlidir.
Kaynaklar
- OWASP, Credential Stuffing Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet.html
- NIST SP 800-63B, Dijital Kimlik Kılavuzu (parola önerileri): https://pages.nist.gov/800-63-3/sp800-63b.html
- Have I Been Pwned, veri ihlali kontrolü: https://haveibeenpwned.com/
- FIDO Alliance, passkey ve parolasız kimlik doğrulama: https://fidoalliance.org/passkeys/
Sızmış parolaların hesaplarınızı ya da şirketinizi tehdit edip etmediğini denetlemek ve güçlü kimlik doğrulama kurmak için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.