Yaklaşık 773 milyon benzersiz e-posta adresi ve 21,2 milyondan fazla benzersiz, düz metin parola, Koleksiyon #1 olarak adlandırılan büyük bir veri dökümünde ifşa edildi.
Haber, insanların çevrimiçi hesaplarından herhangi birinin bilinen bir ihlalin kurbanı olup olmadığını kontrol etmelerini ve aynı zamanda uyarı almalarını sağlayan Have I Been Pwned (HIBP) sitesinin sahibi güvenlik araştırmacısı Troy Hunt'tan geldi.
Hunt'a göre veri, dosya paylaşım hizmeti MEGA ve daha sonra da isimsiz popüler bir hack forumunda yayınlandı. Toplam 87 gigabayt ağırlığında 12.000'den fazla dosya içerir.
“Koleksiyon #1, toplam 2.692.818.238 satırdan oluşan bir e-posta adresi ve parola setidir. Hunt: "Kelimenin tam anlamıyla binlerce farklı kaynaktan gelen birçok farklı bireysel veri ihlalinden oluşur” diye yazdı. Bu rakam, yinelenen ve önemsiz bitleri kaldırmadan önceki ham verilere atıfta bulunur.
Ayrıca temizleme işlemi sonucunda, 1.160.253.228 benzersiz e-posta adresi ve parola kombinasyonu 772.904,991 benzersiz e-posta adresine “indirildi”; 21.222.975 benzersiz parola ile birlikte düz metin olarak bulunuyor. Sonuç olarak, bu toplam, hala hash halinde bulunan parolaları içermez.
En önemlisi, sete ulaşan herkes herkes, düz metin şifrelerini gerçek hesaplarda kolayca test edebilir. Yaklaşık 140 milyon e-posta hesabı ve 10.6 milyon parola geçmiş ihlallerden değil.
Buna ek olarak, Hunt, dizin listesindeki birçok gerçek ihlali tanıdığını söyledi, ancak “bazılarının aslında bir veri ihlaline karışmamış hizmetlere atıfta bulunmaları tamamen mümkün” dedi.
Her iki durumda da, eskiden kendisinin de kullandığı hesapların ortaya çıktığını ve bu eski e-posta/şifre kombinasyonunun gerçekten doğru olduğunu da ekledi.
“Kısacası, bu ihlalin içindeyseniz, daha önce kullandığınız bir veya daha fazla şifre başkalarının görmesi için dolaşıyor” diye yazdı.
Paket servisi mi?
Hunt, HIBP'ye Koleksiyon #1'den veri yüklediğine göre, e-posta hesaplarınızdan herhangi birinin veya e-postanızla ilişkili çevrimiçi bir hesabınızın bilinen bir ihlalin parçası olup olmadığını kendiniz görmeniz önerilir (şifreler buradan kontrol edilebilir). Eğer öyleyse, parolanızı değiştirmeyi ve parolanızı başka bir yerde yeniden kullanmadığınızdan emin olmayı düşünün; bu aşamada güvenilir bir parola yöneticisinin faydası olacaktır.
Ayrıca, mümkün olan her yerde iki faktörlü kimlik doğrulama (2FA) kullanmayı da düşünmelisiniz, çünkü bu, hesaplarınızı çalma girişimlerini önlemeye yardımcı olmak için çok basit bir önlemdir. Açıkçası, çoktan kullanıyor olmalıydınız!