2025 yılının en büyük data sızıntısı ortaya çıktı. Siber güvenlik araştırmacıları, bugüne kadar görülmüş en büyük parola sızıntısını doğruladı: Toplamda 16 milyar giriş bilgisi, yani kullanıcı ismi ve şifre, internette açıkta bulunuyor. Sızan datalar ortasında Apple, Facebook, Google, Telegram, GitHub ve çeşitli devlet servislerine ilişkin kullanıcı hesapları da yer alıyor.
16 milyar şifre sızdırıldı: Apple, Google, Facebook ve daha fazlası etkilendi
Araştırmayı yürüten Cybernews grubu, yılın başından bu yana süren bir soruşturma kapsamında 30 farklı bilgi kümesi tespit etti. Her bir bilgi kümesinde on milyonlar ile 3,5 milyar ortasında hesap bilgisi yer alıyor.
Verilerin büyük kısmı daha evvel kamuya açık halde sızdırılmamış, yani taptaze. Yalnızca daha evvel 184 milyon şifre içeren bir veritabanının bu sızıntı içinde tekrar yer aldığı belirtildi. Geri kalan tüm içerikler daha evvel bilinmeyen hesap bilgilerini içeriyor.
Sızan bilgiler çoğunlukla URL, kullanıcı ismi ve şifre üçlüsünden oluşan klasik bir formatta yayıldı. Bu yapıyla birlikte toplumsal medya platformlarından geliştirici portallarına, sanal özel ağlardan devlet kurumlarına kadar geniş bir yelpazede kullanıcı hesabı tehlikeye girmiş durumda. Araştırmacılar, bu büyüklükteki bir sızıntının yalnızca bir güvenlik açığı olmadığını, birebir vakitte “kitlesel sömürü için bir plan” olduğunu belirtti.
Araştırma raporunda kullanılan söze nazaran, bu bilgiler “neredeyse hayal edilebilecek her çevrimiçi hizmete” erişim imkanı tanıyor. Uzmanlar, bu çeşit yeni ve kullanılabilir dataların bilhassa kimlik avı taarruzları (phishing) ve hesap ele geçirme olaylarında çok daha tesirli biçimde kullanılabileceği ikazında bulundu.
Keeper Security’nin kurucularından Darren Guccione, kelam konusu devasa sızıntının sırf makus niyetli yazılımların (infostealer) değil, birebir vakitte yapılandırma kusurları sonucu kamuya açık hale gelen data tabanlarının da katkısıyla oluştuğunu söyledi. Bulut sistemlerindeki yanlış yapılandırmaların, milyonlarca kullanıcıya ilişkin parolanın makus niyetli bireylerin eline geçmesini kolaylaştırdığına dikkat çekti.
Guccione, ferdi kullanıcıların şifre idaresi yazılımları ve karanlık web izleme sistemleri kullanmasının kıymetine vurgu yaptı. Bu cins tahliller sayesinde kullanıcılar kendi şifrelerinin sızdırılıp sızdırılmadığını erkenden öğrenebiliyor ve gerekli tedbirleri alabiliyor. Öte yandan şirketler de sıfır itimat (zero-trust) yaklaşımına dayalı, kimlik doğrulama odaklı sistemleri devreye alarak ziyanı minimize edebiliyor.
KnowBe4’te güvenlik farkındalığı savunucusu olarak vazife yapan Javvad Malik, siber güvenliğin yalnızca teknik bir mevzu değil, tıpkı vakitte herkesin sorumluluğunda olan bir alan olduğunu vurguladı. Kullanıcıların güçlü ve eşsiz şifreler tercih etmesi, mümkün olan her yerde iki faktörlü kimlik doğrulama kullanması gerektiğini belirtti.
Şu ana kadar bu sızıntının kaynağı netleşmiş değil. Lakin uzmanlar, olayın ardında birden fazla infostealer yazılımının bir ortaya geldiği bir süreç olduğunu pahalandırıyor. Şifrelerin karanlık ağda satışa sunulması ise, bu tıp bilgilerle nelerin yapılabileceği konusunda önemli riskleri beraberinde getiriyor.
16 milyar hesabın şifresinin internete sızdığı bir periyotta kullanıcıların vakit kaybetmeden şifrelerini güncellemesi, tekrar eden parolalardan vazgeçmesi ve passkey üzere daha inançlı sistemlere yönelmesi hayati kıymet taşıyor.
