- Katılım
- 20 Ocak 2024
- Mesajlar
- 51
- Tepkime puanı
- 0
- Puanları
- 8
Veri Sızıntısı (Data Breach) Takibi: Have I Been Pwned ve Sızıntı Veritabanları
Giriş: "Şifreniz Artık Bir Sır Değil"
Siber güvenlik dünyasında ünlü bir söz vardır: "İki tür şirket vardır: Hacklendiğini bilenler ve henüz hacklendiğini bilmeyenler." Veri sızıntıları (Data Breaches) artık bir istisna değil, dijital yaşamın kaçınılmaz bir parçası haline geldi. Milyarlarca kullanıcının e-posta adresleri, şifreleri, telefon numaraları ve kredi kartı bilgileri her yıl Dark Web pazarlarına düşüyor.Bir Siber Tehdit İstihbaratı (CTI) analisti için sızıntı takibi, pasif bir izleme işi değildir. Bu veritabanları, saldırganların bir sonraki hamlesini tahmin etmek ve kurumları "Credential Stuffing" (Kimlik Bilgisi Doldurma) saldırılarına karşı korumak için en kritik istihbarat kaynağıdır.
Sızıntının Anatomisi: Veri Nasıl Sızar?
Bir sızıntının yaşam döngüsünü anlamadan, onu takip edemeyiz:- Sızma (Intrusion): Saldırganlar SQL Injection veya yetkisiz erişim ile bir şirketin (Örn: LinkedIn, Adobe, Yemeksepeti) veritabanını ele geçirir.
- Damping (Döküm): Veritabanı .sql veya .csv formatında dışarı çıkarılır.
- Satış ve Yayılma: Veri önce "Private" (Özel) forumlarda yüksek fiyata satılır. Zamanla değeri düşer ve "Public" (Halka açık) forumlara düşer. En sonunda Telegram kanallarında bedava dolaşmaya başlar.
- Silahlanma (Weaponization): Saldırganlar bu listeleri alıp, otomatik araçlarla (SentryMBA vb.) bankalarda veya e-ticaret sitelerinde denerler.
Altın Standart: Have I Been Pwned (HIBP)
Sızıntı takibi denince akla gelen ilk isim Troy Hunt ve onun kurduğu Have I Been Pwned servisidir. HIBP, etik sınırlar içinde kalarak sızıntı takibi yapmanın en iyi örneğidir.Nasıl Çalışır?
HIBP, internete düşen milyarlarca satır veriyi toplar, indeksler ama şifreleri asla açık (plaintext) olarak saklamaz.- Domain Search: Bir kurumsal analist, şirketinin alan adını (örn: @sirketim.com) doğrularsa, o alan adına ait tüm sızdırılmış e-postaları görebilir.
- Pwned Passwords: Şifrelerin güvenliğini kontrol etmek için kullanılır. Şifrenizi siteye göndermezsiniz; şifrenizin SHA-1 hash'inin ilk 5 karakterini gönderirsiniz (k-Anonymity prensibi). Bu sayede mahremiyet korunur.
Agresif İstihbarat: DeHashed, Snusbase ve Intelligence X
HIBP "farkındalık" içindir, ancak bir istihbarat analistinin bazen daha fazlasına, yani saldırganın gördüğü veriye ihtiyacı vardır.- DeHashed & Snusbase: Bu servisler, sızdırılan şifreleri "kırılmış" (açık metin) halleriyle gösterir.
- Kullanım Amacı (Etik Sınır): Analist, şirket CEO'sunun sızan şifresini bulup "Sayın CEO, 2018'de LinkedIn'de 'Fenerbahce1907' şifresini kullanmışsınız ve şu an şirket mailinizde de aynı şifreyi kullanıyorsunuz. Lütfen değiştirin" diyebilmek için bu araçları kullanır. Bu, saldırgan yapmadan önce açığı kapatmaktır.