Verilerim Koleksiyon #1’e sızdı. Ne yapmalıyım?

Ocak 18, 2019

Dün, gizlilik ve güvenlik uzmanı Troy Hunt, Koleksiyon #1 adındaki veri tabanı hakkında bir blog yazısı yayınladı. Bu devasa veri tabanı son günlerde İnternete yayılan 700 milyon benzersiz e-posta adresinden, 1.1. milyardan fazla benzersiz kullanıcı adı-parola çiftinden oluşuyor. Sızıntıdan etkilenip etkilenmediğinizi nasıl anlayacağınızı ve bu konuda ne yapmanız gerektiğini açıklıyoruz.

Sızıntılar ve ihlaller meydana gelmektedir -hem de oldukça sık meydana gelirler ve kimi zaman epey geniş çaplı olurlar. Kötü niyetli kişiler, sızan bilgileri toplayarak kullanıcı isimlerinden ve parolalardan oluşan veritabanları meydana getirirler. Bazıları her sızıntıdan aldığı bilgilerle bu veritabanlarını büyütmeye çalışır ve bu çabanın sonucunda da Troy Hunt tarafından açığa çıkarılan Koleksiyon #1 adlı veritabanına benzer devasa veritabanları oluşturulur.

Buna yalnızca (Yahoo!’nun başına gelen ve milyarlarca kullanıcının bilgisinin çalındığı durumdaki gibi) dev bir sızıntı denemez, bu tam anlamıyla bir koleksiyondur ve bazıları 2000 kadar eski bir tarihe dayanan, bazıları ise daha yakın zamanda meydana gelmiş olan 2000’den fazla farklı sızıntıdan derlenen bilgileri içermektedir.

Koleksiyon #1’de 2012’de meydana gelen LinkedIn sızıntısı ve Yahoo’da görülen her iki güvenlik ihlali gibi meşhur sızıntılardan elde edilen kullanıcı isimlerinin ve parolalarının olmaması şaşırtıcıdır (Yahoo’daki 1. ihlal hakkında yazımız burada, 2. ihlal hakkındaki diğer bir yazı da burada).

Koleksiyon #1’in beni etkileyip etkilemediğini nasıl anlarım?

Veritabanında size ait bilgilerin olup olmadığını öğrenmek için haveibeenpwned.com adresini kullanabilirsiniz. Hesaplarınızın bağlı olduğu e-posta adresinizi yazın ve bu adresin haveibeenpwned.com’un bilgisi dahilindeki sızdırılmış veritabanlarından birinde olup olmadığını öğrenin.

Eğer e-postanız Koleksiyon #1’e eklenmişse haveibeenpwned sayfasında bununla ilgili bir madde yer alacaktır. Eğer adresiniz burada yoksa şanslısınız ve bu konuda yapmanız gereken hiçbir şey yok. Ama varsa, işin alengirli tarafı burada başlıyor.

Hesabımın Koleksiyon #1 veritabanında yer aldığını görürsem ne yapmalıyım

Eğer e-posta adresiniz oradaysa, bu konuda kesinlikle bir şeyler yapmalısınız. Ancak bu servis size bu e-postanın bağlı olduğu hesaplarınızdan hangisinin ihlale uğradığını söylemeyecektir. Kripto para forumundaki hesabınız mı, çevrimiçi kütüphane hesabınız mı, kedi severler topluluğundaki hesabınız mı yoksa başka bir hesabınız mı? Bununla birlikte, şimdi iki seçeneğiniz var, burada yapmanız gereken şey tek bir parolayı birden fazla servis için kullanıp kullanmadığınıza bağlı olarak değişir.

Seçenek 1: Bu e-posta adresi ile bağlantılı birkaç hesap için tek bir parola kullanıyordu iseniz. İşler zorlaşacak çünkü güvenliği sağlamak için bütün hesaplarınıza tek tek girip her birinin parolasını değiştirmeniz gerekecek. Bu parolaların uzun ve benzersiz olması gerektiğini unutmayın. Sanıyorum ki yalnızca tek bir parolayı akılda tutmaya alışık olduğunuz için bir dolu yeni parolayı ezberlemeye çalışmak neredeyse imkânsız olacaktır. Bu yüzden Kaspersky Password Manager gibi bir parola yöneticisi kullanmanızı öneriyorum.

2. Seçenek: Bu e-posta adresi ile bağlantılı hesapların her biri için ayrı parola kullanıyordu iseniz. Haberler iyi, işiniz biraz daha kolay olacaktır. Elbette, dilerseniz bütün parolalarınızı değiştirebilirsiniz ama buna gerek yok. Yapabileceğiniz şeylerden biri haveibeenpwned sayfasının Pwned Passwords adlı diğer bir özelliğini kullanarak hangi parolanızın açığa çıktığını bulmak.

Burada hesaplarınızdan birinin parolasını girebilir ve Koleksiyon #1 veritabanında düz metin halinde ya da ‘hash’ olarak yer alıp almadığını öğrenebilirsiniz. Eğer şu ya da bu parolanın haveibeenpwned sitesinde bir kez bile ortaya çıktığını görürseniz, değiştirmeniz iyi olacaktır. Sitede yoksa, güvende demektir. Başka bir parolaya geçebilirsiniz.

Elbette, bunu yapmak haveibeenpwned sitesine güvenmeyi gerektirir ve çoğu insanın bunun için kesinlikle hiçbir sebebi yoktur. Bu nedenle parolanızı bu siteye SHA-1 hash formatında yapıştırabilir ve parolanın kendisini yapıştırmış olmakla aynı sonucu elde edebilirsiniz. Verdiğiniz bilgilerle sizin için SHA-1 hash’leri oluşturan çok sayıda çevrimiçi kaynak var (burada sizin için bir Google araştırması yaptım). Bu şekilde haveibeenpwned sitesinde parolanızı teşhir etmemiş olursunuz; paranoya duymanız için ek bir sebep çıkmamış olur.

Veri ihlallerinden korunma ve minimum oranda etkilenme konusunda genel tavsiye

Son birkaç yılda çok sayıda sızıntı meydana geldi, bu yüzden de önümüzdeki yıllarda çok daha fazla sızıntının yaşanacağını varsaymak yerinde olur. İşte bu yüzden, Koleksiyon #1 gibi büyük veritabanları zaman zaman ortaya çıkacak ve kötü niyetli kişiler insanların hesaplarına girmek için bunları seve seve kullanacaktır. Böylesi sızıntılardan etkilenme ihtimalini en aza indirmek için, size aşağıdakileri yapmanızı öneriyorum:

  • Her bir hesabınız için uzun ve benzersiz bir parola kullanın. Bu şekilde, bir serviste sızıntı olduğu takdirde, sadece tek bir parola değiştirmeniz gerekecek.
  • Mümkün olan her durumda iki adımlı doğrulamayı etkinleştirin. Böylece, hackerlar oturum açma ve parola bilgilerinizi edinseler dahi, hesabınıza giriş yapamayacaklardır.
  • Sizi yakın zamanda yaşanan sızıntılar konusunda uyaracak, Kaspersky Security Cloud gibi güvenlik çözümleri kullanın.
  • Ezberinizde tutmanız gerekmeyen çok sayıda benzersiz ve güçlü parola oluşturmanıza yardımcı olabilecek bir parola yöneticisi kullanın. Parola yöneticileri, parolalarınızı istediğiniz zaman hızlı bir şekilde değiştirmenize de yardımcı olur. Kaspersky Password Manager bu görevleri etkili bir şekilde halletmektedir.