Username Enumeration: Bir Kullanıcı Adının Diğer Platformlardaki İzini Sürme

müfettiş

müfettiş

Moderatör
Katılım
20 Ocak 2024
Mesajlar
325
Tepkime puanı
1
Puanları
18
username-enumeration.png


Username Enumeration: Bir Kullanıcı Adının Diğer Platformlardaki İzini Sürme​

Giriş: Dijital Parmak İzimiz Olan "Kullanıcı Adları"​

İnternet devasa bir okyanus olsa da, insan hafızası sınırlıdır. Ortalama bir internet kullanıcısının onlarca farklı platformda hesabı vardır (Instagram, GitHub, Gmail, Forumlar, Spotify vb.). İnsanlar, her platform için yeni ve benzersiz bir kullanıcı adı hatırlamakta zorlanırlar. Bu bilişsel tembellik veya "markalaşma" isteği, OSINT (Açık Kaynak İstihbaratı) analistleri için bulunmaz bir fırsattır.

Username Enumeration (Kullanıcı Adı Numaralandırma/Tespiti), bir hedef şahsın kullandığı takma adı (handle) alıp, yüzlerce farklı platformda tarayarak o kişiye ait diğer hesapları bulma tekniğidir. Bu yöntem, kopuk dijital parçaları birleştirerek hedefin "Gerçek Kimliğini" (Real-World Identity) ortaya çıkarır.

Neden İşe Yarıyor? (Psikolojik Altyapı)​

İnsanlar kullanıcı adlarını seçerken genellikle üç kalıptan birini kullanır:
  1. Ad-Soyad Kombinasyonları: ahmet.yilmaz88, ayilmaz1990.
  2. Hobiler ve İlgi Alanları: cyber_warrior, java_guru, dark_knight.
  3. Benzersiz Takma Adlar: xX_DragonSlayer_Xx gibi.
Özellikle benzersiz ve yaratıcı takma adlar, analist için altın değerindedir. ahmet123 ismini binlerce kişi kullanabilir ama kripto_avcisi_34 ismini muhtemelen tek bir kişi, tüm platformlarda kullanıyordur.

Teknik Süreç ve Araçlar​

Analistler, bu taramayı manuel olarak yapmazlar. Otomasyon araçları, saniyeler içinde yüzlerce siteye "Bu kullanıcı adı sizde kayıtlı mı?" sorusunu sorar.

1. Sherlock ve Maigret​

Python tabanlı bu araçlar, terminal üzerinden çalışır.

  • İşleyiş: Siz sherlock hedef_kullanici komutunu girersiniz. Araç, 400'den fazla siteye (Tinder'dan PayPal'a, GitHub'dan Pornhub'a kadar) istek gönderir.
  • Sonuç: Size o kullanıcı adının "var olduğu" tüm profillerin doğrudan linklerini verir.

2. WhatsMyName.app​

Web tabanlı en popüler araçtır. Kategorize edilmiş sonuçlar sunar. Bir kullanıcı adının "Oyun Siteleri"nde mi yoksa "Finans Siteleri"nde mi aktif olduğunu görmek, hedefin profili hakkında ipucu verir.

Noktaları Birleştirmek: Profilleme ve Pivotlama​

Kullanıcı adı taraması tek başına bir sonuca ulaşmaz. Elde edilen verilerin birleştirilmesi (Correlation) gerekir. Buna "Pivotlama" denir.
  • Senaryo: Bir hacker forumunda dark_coder_99 isimli bir tehdit aktörü buldunuz. Kimliği gizli.
  • Adım 1 (Tarama): Bu ismi Sherlock ile taradınız ve Steam (Oyun platformu) hesabını buldunuz.
  • Adım 2 (Analiz): Steam profilinde "Konum: Ankara" yazıyor ve profil fotoğrafında bir araba var.
  • Adım 3 (Detay): Arabanın plakası okunuyor veya Steam geçmişinde "Ahmet" adında bir arkadaşı ona "Doğum günün kutlu olsun kardeşim" yazmış.
  • Sonuç: Hacker forumundaki anonim dark_coder_99, aslında Ankara'da yaşayan ve doğum günü bilinen bir şahıstır.

Parola Sızıntıları ve Güvenlik Riski​

Kullanıcı adı eşleştirmesi, siber suçlular tarafından da kullanılır. Eğer bir saldırgan, sizin user1 adını hem Instagram'da hem de kurumsal e-postanızda kullandığınızı tespit ederse; geçmişte user1 adıyla sızdırılmış (örneğin LinkedIn sızıntısı) şifreleri dener. İnsanlar genellikle şifrelerini de tekrar ettikleri için, bu yöntem (Credential Stuffing) ne yazık ki çok başarılı olur.

Sonuç​

Dijital dünyada anonimlik çok zordur. Tek bir platformda yaptığınız hata veya paylaştığınız ufak bir kişisel detay, diğer tüm platformlardaki hesaplarınızla birleştirildiğinde kimliğinizi ifşa edebilir. İstihbaratçılar için bir kullanıcı adı, sadece bir giriş bilgisi değil; kişinin dijital hayatının haritasıdır.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst