i-Dressup'ta kullanıcı isimleri çalındı

Hacker'a göre bu verileri elde etmek yalnızca üç hafta sürdü ve 5.5 milyon girdiden oluşan bütün veri tabanını indirmek açısından onu ve diğer hacker'ları engelleyebilecek hiçbir şey yok.

i-Dressup aslında kendisini oldukça güvenli bir site olarak tanımlasa da sitenin bu anlamda yeterli bir güvenlik altyapısının olmadığı anlaşılıyor. Daha da kötüsü sitenin düz metinlerden oluşan şifrelere izin vermiş olması.

Zira endüstri standartları söz konusu şifrelerin rakam ve semboller de içeren kriptografik bir dizilimde olmasını gerektiriyor.

Bu sayede saldırganların şifreleri ele geçirmek çok daha fazla zaman ve kaynak ayırması gerekiyor.

Halihazırda i-Dressup'ta hesabı olan kullanıcıların bu hesapları kapatmaları tavsiye ediliyor. Bu kullanıcılar aynı zamanda aldatmacaya yönelik e-postalara karşı dikkatli olmalı ve eğer aynı ya da benzer kimlik bilgilerini başka sitelerde de kullandıysalar onları da değiştirmeli.

ÇALINAN DİĞER HESAPLAR

Yahoo: 500 Milyon Hesaba Sızılabilir' haberi okuyucular arasında büyük ses getirirken; yabancı basın kaynaklarının haberleri de tepkiyi körükledi. Çarpıcı bir örnek verelim: Dünya’nın en büyük ülkelerinden biri olan Amerika Birleşik Devletlerinin nüfusu 330 milyon civarında. Yani, felaketin boyutu, bu rakamlar söz konusu olduğunda daha da iyi anlaşılabilir.

MySpace ve LinkedIn’de büyük çaplı sorunlar yaşamış ve hacker’ların sızma girişlerine kurban olmuşlardı. Ancak iki şirket de, sadece birkaç ülkede problem yaşamıştı. Oysa ki Yahoo, dünya çapında olağan dışı bir kriz yaşayarak; dünyanın, bu çapta bir kriz yaşayan ilk global çaplı firması oldu. Amerikalı teknoloji devinin açıklamasına göre, sızma eylemi Hashing ile gerçekleşti.

Hash eylemi değişken uzunluklu veri kümelerini, sabit uzunluklu veri kümelerine haritalayan algoritma veya alt program. Basite indirgemek gerekirse, bir kişinin ismi değişken uzunlukta ise, tekil tam sayı olarak yapısında biçimlendirilebilir. Hash fonksiyonlarından geri dönen değerlere, hash değerleri, hash kodları, hash toplamları (hash sums), kontrol toplamları (checksums) veya basit olarak hash’ler olarak isimlendirilir.

Yahoo’nun ifadelerini göz alalım: Şifreler, hash temelli bcrypt yapısıyla çalınmış. Yani kullanıcı olarak yapmanız gereken ilk şey, e-posta hesabınızı kontrol etmeniz. Şüpheli bir eylem varsa ne yapmanız gerektiğini söylemeye dahi gerek yok. Ancak böyle bir eylem yoksa, şifrenizi değiştirmek, size hiçbir külfet getirmez. En önemli tavsiyemiz ise, ne kadar güvenli; ne kadar kompleks karakterle yaratmış olursanız olsun, şifrenizi tek bir siteden fazla mekanda kullanmayın!

Amerikalı teknoloji devi Yahoo'nun, 2014 yılında siber saldırıya uğradığı açığa çıktı. Yahoo'dan yapılan açıklamada 500 milyon kullanıcının adı, e-posta adresi, telefon numarası, doğum tarihi, karıştırılmış şifresi, hesap doğrulamak için gereken güvenlik sorusu ve cevabının bulunduğu kaydedildi.

HESABI ÇALINAN KULLANICILAR HACKER'LARDAN KORUNMAK İÇİN NE YAPABİLİR?

Yahoo yaptığı açıklamada hack saldırısından etkilenen kullanıcılarına e-mail yoluyla uyarı göndereceğini duyurdu. Tarihinin en büyük saldırısı ile karşı karşıya kalan şirket, ilk etapta kullanıcılarına şifrelerini acilen değiştirme ve onay metotlarını daha komplike hale getirmelerini önerdi. Yahoo'nun FBI ile işbirliği yaptığı da gelen ilk bilgiler arasında.

Başka bir deyişle konu artık bir FBI soruşturmasına dönüşmüş durumda. Saldırının devlet kaynaklığı olduğu açıklaması göz önünde bulundurulduğunda bu konunun ilerleyen günlerde uluslararası bir krize neden olabileceğini söylemek de mümkün.

YAHOO'NUN SALDIRIDAN HABERİ VAR MIYDI?

Konu ile ilgili ortaya atılan en dikkat çeken iddia, Yahoo'nun bu saldırından aylar önce haberinin olmasına rağmen kullanıcılarına uyarıda bulunmaması.

Aynı iddiaya göre, Yahoo bundan 2 ay önce saldırı hakkında bilgi sahibi olmasına rağmen kamuoyunu bilgilendirmedi.

Bu iddia ile ilgili Yahoo'dan henüz bir açıklama yapılmadı.

Bir diğer hesapların çalınması skandalı Dropbox'ta yaşanmıştı.

2012 yılında gerçekleşen güvenlik açığı nedeniyle ele geçirilen 68 milyon kullanıcı hesabına yönelik bir duyuruda bulundu.

Dropbox şifrenizi değiştirmeniz gerekiyor. Bulut depolama servisi Dropbox, 2012 yılında büyük bir güvenlik açığı ile karşı karşıya gelmiş; servisin büyük güvenlik açığı sonrasında birçok kullanıcının hesabı bilgisinin çalındığı iddia edilmişti.

2014 yılında ise milyonlarca kullanıcıya sahip bulut servisi, hack'lenerek 7 milyon kullanıcı giriş bilgilerini çaldırmıştı. 2 yıl arayla gerçekleşen güvenlik zafiyetlerini sorunsuz bir şekilde giderdiğini söyleyen Dropbox; 2016 yılında, geçmiş yıllarda gerçekleşen saldırıların faturalarını açıklıyor.

Veri tabanı ticaret topluluğu ve Leakbase'in dizi halinde bulunan dosya kaynaklarında; ana kart, e-posta adresleri, hesap şifreleri dahil olmak üzere 68 milyon 680 bin 741 kullanıcının Dropbox hesaplarına ilişkin kayıtlar bulundu.

Apple Insider'da yer alan habere göre ismi açıklanmaya bir Dropbox çalışanı söz konusu verilerin meşruiyetini doğruladı.

Dropbox geçtiğimiz hafta belli olmayan sayıda kullanıcısına, Dropbox şifrelerini değiştirmelerini içeren bir e-posta göndermişti.

Söz konusu çalışmanın tamamen tedbir amaçlı olduğunu söyleyen Dropbox, özür dileyerek konu hakkında daha fazla bilgi sahibi olmak isteyen kullanıcıları kendi web sitesine yönlendirdi.

Dropbox Güvenlik Şefi Patrick Heim konuyla ilgili yaptığı açıklamada; geçen hafta itibariyle proaktif parolama sıfırlama faaliyetlerini başlattıklarını, kullanıcıların 2012 yılındaki güvenlik açığına karşı tedbir anlamında şifrelerini değiştirmeleri gerektiğini belirtti.

Nitekim kullanıcıların, geçen haftadan sonra eski şifreleri ile Dropbox hesaplarına erişemeyecekleri ifade edilmişti.

Dropbox geçtiğimiz yıllarda gerçekleşen büyük çaptaki güvenlik açıklarının etkilerini gidermeye çalışıyor.

Fakat kısa aralıklarla kullanıcı hesaplarını tehdit altında bırakan servisin, yeterince güvenilir bir izlenim vermediğini söyleyebiliriz.