İnternetteki bir fetiş sohbet odasına ait 100 binden fazla üye bilgisi bilgisayar korsanları tarafından ele geçirildi. Açığa çıkarılan e-posta ve IP adresleri, kullanıcı adları ve şifrelerin yanında kullanıcıların gizli tutmak isteyeceği cinsel sohbetler bulunuyor.
İnternet hesapları çalınan mağdurları bilgilendirme amacıyla kurulan 'Have I Been Pwned?' adlı sitenin sahibi güvenlik uzmanı Troy Hunt, fetiş sohbet odasından (forum) sızdırılan hesaplardan bazılarının hükümet ve orduda görevli isimlerin e-posta adreslerine ait olduğunu belirtti. İnternet güvenliğinin önde gelen araştırmacılarından Hunt, 100 binden fazla hesap bilgisinin ifşa edildiğini söyledi.
Açığa çıkarılan veriler arasında e-posta adresleri, kullanıcı adları, IP adresleri, şifreler ve kullanıcıların gizli tutmak isteyebileceği cinsel eğilimleri ile fetiş sohbetleri var. Hunt, sohbet odasının eski bir yazılım kullandığını, bu nedenden dolayı da 'hacklenmesinin' nispeten kolay olduğunu söylüyor.
Hunt, "SQL saldırısı için yaygın bir zayıflıktan faydalanmışlar" dedi. 'Veri tabanı açığı saldırısı' olarak da bilinen SQL saldırıları (SQL injection) bilgisayar korsanının, bir web türüne yapısal sorgulama dili (SQL) kodu eklemesiyle oluyor. Bu kodla ya da komutla beraber, veri tabanlarına, tüm verilere erişim verilmesi ve indirilmesi için izin talebi gönderiliyor.
Hunt'a göre, hesapların yüzde 37'si hali hazırda Have I Been Pwned? adlı sitede listelenmiş durumda.
Şüphelenenler sitede sorgulama yapabiliyor
Bu sitedeki veri tabanında, 100'den fazla internet sitesinden çalınmış 345 milyondan fazla hesap bulunuyor. Hesaplara dışarıdan erişim yok fakat site, verilerinin çalınmış olabileceğini düşünen kullanıcıları uyarma görevi üstleniyor.
Veri ihlali yapıldığından şüphelenenler internet sitesinde e-posta adreslerini giriyor ve hesaplarının 'hacklenen' hesaplar arasında olup olmadığına bakıyor.
Hunt, sohbet odasındaki fetiş ve cinsel içerikli muhabbetlerden dolayı verilerin dışarıya sızdırılmasının kullanıcılar açısından oldukça hassas bir ihlal olabileceğini söylüyor. BBC'ye konuşan Hunt, "Bu, insanların gizli kalmasını isteyecekleri sohbetlerin yapıldığı bir forum ama insanlar takip edilebilen ve hatta şirketlerine ait e-posta adreslerini kullanıyorlar" dedi.
Güvenlik uzmanı, bu tip siteleri ziyaret etmek isteyenlerin anonim kalmak için bazı önlemler almaları gerektiği tavsiyesinde bulunuyor: "Bir e-posta adresi oluşturun ve bir isim uydurun. IP adresinizle izinizin sürülmemesi için Tor anonim ağlar kullanın."