2 milyar e-posta adresi sızdırıldı ve bunların tamamı Have I Been Pwned'a indekslendi

 (troyhunt.com)
3 puan yazan GN⁺ 2025-11-07 | 1 yorum | WhatsApp'ta paylaş
  • Toplam 1 milyar 957 milyon 476 bin benzersiz e-posta adresi ve 1,3 milyar parola içeren devasa bir veri seti ortaya çıktı ve Have I Been Pwned(HIBP)'ye yeni eklendi
  • Bunların içinde 625 milyon parola daha önce hiç görülmemişti; bu, HIBP'nin işlediği veriler arasındaki en büyük hacim
  • Veri, Synthient'in tehdit istihbaratı platformundan toplanan credential stuffing materyalinden oluşuyor ve çeşitli ihlallerden sızdırılmış e-posta-parola eşleşmeleri içeriyor
  • HIBP, verinin doğruluğunu doğrulamak için abonelerden doğrudan teyit istedi; bazı kayıtlarda hâlâ aktif olarak kullanılan parolalar vardı
  • Bu indeksleme, bir Gmail sızıntısı değil, kötü amaçlı yazılımla enfekte olmuş kurbanlardan toplanan kimlik bilgileri sonucu oluştu; kullanıcılar maruz kalıp kalmadıklarını HIBP veya Pwned Passwords üzerinden kontrol edebilir

Veri özeti

  • Veri setinde 1.957.476.021 benzersiz e-posta adresi ve 1,3 milyar parola bulunuyor
    • Bunların 625 milyon parolası HIBP'de ilk kez görülen kayıtlar
    • Bu, HIBP'nin şimdiye kadar işlediği veriler içinde en büyük ölçekli olanı; önceki en büyük sızıntıdan yaklaşık 3 kat büyük
  • Veri, Synthient tarafından toplanan tehdit istihbaratı materyalinin bir parçası ve credential stuffing listeleri içeriyor
    • Credential stuffing verisi, farklı ihlallerden sızan e-posta-parola eşleşmelerinin yeniden kullanılmasıyla oluşuyor
    • Aynı parolanın birden çok sitede kullanılma alışkanlığı nedeniyle, tek bir sızıntı başka hizmetlerdeki hesap ihlallerine yol açabiliyor

Veri doğrulama süreci

  • Doğrulama, yazarın kişisel e-posta adresiyle başladı ve bazı eski parolaların gerçekten eşleştiği görüldü
    • Diğer parolalar tanıdık değildi ve bazılarında IP adresi biçimi gibi anormal değerler yer alıyordu
  • HIBP abonelerinden de doğrulama istendi ve çeşitli örnekler toplandı
    • Bir kullanıcıda hem eski bir parola hem de yakın zamanda kullanılan bir parola yer alıyordu ve kullanıcı hemen değişiklik yaptı
    • Başka bir kullanıcıda 10-20 yıl önce kullanılan parolalar vardı
    • Bazı yanıt verenler, hâlâ aktif hesaplarda kullanılan parolalarının açığa çıktığını bildirdi
  • Doğrulama sonuçları, veride eski bilgilerle hâlen kullanılan parolaların karışık halde bulunduğunu gösterdi
    • Bazı kayıtlar otomatik üretilmiş parolalardan oluşuyordu ya da o kadar eskiydi ki kullanıcılar hatırlamıyordu

Pwned Passwords arama özelliği

  • HIBP'nin Pwned Passwords hizmeti, e-posta adresleri ile parolaları ayrı ayrı saklıyor
    • Bu, güvenlik ve gizlilik için alınmış bir önlem; e-posta-parola çiftlerinin açığa çıkma riskini önlüyor
  • Kullanıcılar, parolalarının sızdırılıp sızdırılmadığını şu yollarla kontrol edebilir
    1. Pwned Passwords arama sayfası
    2. k-anonymity API ile kod tabanlı sorgulama
    3. 1Password Watchtower özelliğiyle otomatik kontrol
  • Tüm 4 haneli PIN kombinasyonları zaten sızdırılmış durumda ve HIBP verisine dayanan PIN kullanım modeli görselleştirmeleri de mevcut

Gmail sızıntısı değil

  • Bu olay, Gmail'deki bir güvenlik açığıyla ilgili değil; kötü amaçlı yazılım bulaşması sonucunda toplanan kurban kimlik bilgileri verisi
  • Tüm veri içinde 32 milyon e-posta alan adı bulunuyor; bunların içinde gmail.com 394 milyon ile yer alıyor
    • Gmail adresleri toplamın yalnızca yaklaşık %20'sini oluşturuyor, geri kalan %80 diğer alan adlarına ait
    • Google'daki bir güvenlik kusuruyla ilişkili değil

Teknik işleme süreci

  • Bu veri, önceki en büyük sızıntıdan yaklaşık 3 kat daha büyük olduğu için işleme süreci son derece karmaşıktı
    • HIBP, yaklaşık 2 hafta boyunca Azure SQL Hyperscale(80 çekirdek) ortamında veriyi işledi
    • E-posta adreslerinin SHA1 hash üretimi sırasında büyük güncellemeler başarısız olunca, işlem 1 milyon kayıtlık partiler halinde yürütüldü
  • 5,9 milyon aboneden 2,9 milyonu bu verinin içinde yer alıyor
    • Toplu e-posta gönderiminde spam filtrelerine ve sunucu kısıtlarına takılmamak için kademeli gönderim stratejisi benimsendi
    • Gönderim hacmi saatte 1,015 kat artırılarak ayarlandı; bu da günde yaklaşık %45 artış anlamına geliyor
    • Güvenilirliği korumak için DKIM, DMARC, SPF ayarları ve özel IP kullanıldı
  • Pwned Passwords API yanıt boyutu ortalama 26KB'den 40KB'ye çıktı
    • Bunun nedeni hash aralığı boyutunun yaklaşık %50 büyümesi; verimlilik ise brotli sıkıştırması ile korundu

Sonuç ve önerilen adımlar

  • Bu veri, HIBP içinde “Synthient Credential Stuffing Threat Data” olarak aranabiliyor
    • Önceki Synthient verilerinden ayrı bir veri seti ve kısmen örtüşme bulunuyor
  • HIBP, verinin bütünlüğünü doğruladı ve gizlilik odaklı arama işlevleri sundu
  • Kullanıcılara önerilen güvenlik adımları
    • Parola yöneticisi kullanmak
    • Güçlü ve benzersiz parolalar oluşturmak
    • Passkey kullanmak ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek
  • HIBP, bu çalışmanın çok zaman ve maliyet gerektiren bir proje olduğunu vurgularken,
    kullanıcıların veri erişim talep etmek yerine güvenlik alışkanlıklarını iyileştirmeye odaklanmasını istedi

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-07
Hacker News görüşü

  • Şimdiye kadar çok fazla veri ihlali oldu. Adresim, SSN'im, telefon numaram, e-postam ve diğer tüm bilgilerim sanki defalarca ifşa edilmiş gibi
    Üniversite, iş arama siteleri, sosyal medya gibi yerlerden ihlal bildirimleri aldım; bunun dışında da yasal büyük veri analizi yoluyla bilgilerim muhtemelen dolaşıyordur
    Şu anda güçlü parolalarımı Bitwarden'da saklayıp yönetiyorum ama geçmişte kullandığım eski hesaplarım hâlâ risk altında gibi görünüyor
    Dürüst olmak gerekirse artık bu noktada ne yapabileceğimi bilmiyorum. Bilgilerimin zaten dışarıda olması can sıkıcı

    • Her hesap için farklı bir e-posta takma adı ve bir parola yöneticisi kullanıyorum
      Boş zamanlarımda eski hesapları temizliyorum. Bu sayede spam'in ya da ihlalin kaynağını e-posta adresinden hemen anlayabiliyorum
      Sieve filtreleme ile çok daha ayrıntılı sınıflandırma yapılabiliyor. envelope to ve header to birlikte kullanılırsa BCC ya da takma adla gelen postalar da doğru şekilde ayıklanabiliyor
      İlgili belge: RFC5228 Sieve Filtering
      Eskiden eski parolalarımı içeren spam e-postalar sayesinde unuttuğum hesapları geri bulduğum da olmuştu
    • Bitwarden gerçekten harika. Ben de çevremdekilere tavsiye ediyorum ama pek ilgi görmüyor
      Eşim ise çevrimiçi bilgi gizliliğinin zaten kaybedilmiş bir savaş olduğunu söylüyor. Belki de haklıdır
    • Adresler çoğunlukla kamu kaydı. fastpeoplesearch.com gibi sitelerde aratınca hemen çıkıyor
      Telefon numaraları da eskiden telefon rehberlerinde vardı. Hâlâ kamusal bilgi gibi geliyor
    • Ben de benzer durumdayım. ABD'deki üç büyük kredi bürosunda kredi dondurma uygulamak önemli
      Bir zamanlar biri benim bilgilerimle kablo TV aboneliği açmıştı; bunu kredi kaydımdan sildirmekle uğraştım
    • Askerdeyken Çin benim DNA profilimi bile çaldı. Artık kabullenmiş durumdayım

  • Troy artık DB alanından epey tasarruf edebilir gibi görünüyor
    Şöyle

    def email_compromised(email):
    return True

    yazsa bile olur; sanki artık tüm e-postalar sızdırılmış gibi hissettiriyor

    • O kadar da değil. Benim ana kullandığım iki e-posta adresim hâlâ temiz görünüyor
      Buna karşılık daha tali işler için kullandığım bir e-posta adresinin 9 ayrı ihlal kaydı var

  • Bu veri setinde Spotify'ın açıklanmamış ihlal bilgileri varmış gibi görünüyor
    2020'nin başlarında zayıf parolalı Spotify hesabıma ABD IP'sinden giriş yapılmıştı
    Birkaç saat sonra Spotify otomatik parola sıfırlama gönderdi ama resmî bir ihlal bildirimi olmadı
    Ancak şimdi o e-posta HIBP'de görünmeye başladı

    • Spotify gibi büyük bir şirket böyle bir ihlali resmî olarak bildirmeliydi

  • Troy Hunt'ın yaptığı işe saygı duyuyorum ama Have I Been Pwned'da e-postamı arayınca pratikte yapılacak bir şey çıkmıyor
    Sitede sadece “risk altındasınız, parolalarınızı iyi yönetin” mesajı var
    500'den fazla parolayı tek tek değiştirmek gerçekçi değil. Sonuçta Bitwarden, 1Password, Chrome gibi parola yöneticilerine güvenmek zorunda kalıyorsunuz

    • Her site için rastgele ve benzersiz parolalar kullanmak gerekiyor
      Ben de eskiden aynı parolayı tekrar kullanıyordum ve bir noktada tüm hesaplarım ele geçirildi
      Şimdi yalnızca parola yöneticisinin ana parolasını, Gmail'i ve disk şifreleme parolasını ezberliyorum; geri kalanların hepsini yönetici üretiyor
      Mümkün olan her yerde 2FA (U2F/WebAuthn) de etkin
    • Evet. Sonuçta mesele parola yöneticisi
    • HIBP Passwords sayfasında bir parolanın sızdırılıp sızdırılmadığını güvenli şekilde doğrudan kontrol edebilirsiniz
      1Password da aynı yöntemle çalışıyor; hesap adı saklanmadığı için yeni bir ihlal riski oluşmuyor
    • Bu veri seti birden çok ihlalin birleştirilmiş toplu verisi, bu yüzden kaynağı belirlemek mümkün değil
    • Daha önce HIBP bildirimi alıp kullanıcı parolalarını anında sıfırladığım olmuştu
      Ama çoğu, zaten eski ihlallerden gelen parolalardı; bu yüzden gereksiz işlemlerden kaçınmaya çalışıyorum

  • Bir sürü özel e-posta adresi kullandığım için HIBP'de kontrol etmek ücretli abonelik gerektiriyor
    Yüzlerce e-posta işletiyorum, bu yüzden kullanışsız. Yine de her site için benzersiz adres kullanmak hâlâ değerli

    • Eskiden alan adı arama özelliği ücretsizdi. 2017'de kaydoldum; 2020 ve 2022'de ihlal bildirimleri aldım
    • Aslında takma e-posta kullanırsanız ihlali olduğu anda anlarsınız. Yalnızca e-posta adresiyle kimlik hırsızlığı yapmak da zor
    • Ben de aynı durumdayım. Parola yöneticisinde tüm e-postaları takip ediyorum ama HIBP'de tek tek kontrol etmek uğraştırıcı
    • Gerçekçi olan, zaten tüm e-postaların ifşa edildiğini varsaymak. E-posta gizli bir şey değil
    • Sonuçta asıl sır parola. Güçlü parolalar kullandığınız sürece sorun olmaz

  • Eskiden Facebook ihlaliyle eski e-posta adresim sızmıştı; sonra biri o alan adını yeniden kaydedip hesap ele geçirme girişiminde bulundu
    Neyse ki 2FA ve Facebook'un güvenlik uyarıları sayesinde bunu engelleyebildim
    Kullanılmayan e-posta adresleri mutlaka hesaplardan silinmeli

    • Kişisel alan adını e-posta için kullanmanın ömür boyu bakım maliyeti var. Alan adını bırakırsanız başka biri satın alıp hesap kurtarma denemesi yapabilir
      iCloud ya da Gmail'de özel alan adını kolayca bağlama imkânı gelince bu risk büyüdü
    • Tek bir hesabı hedeflemek için bu kadar uğraşmaları şaşırtıcı
    • O kişinin para verip alan adını satın alarak bunu denemiş olması ilginç. Ünlü biri bile değilken

  • Azure SQL Hyperscale'i 80 çekirdekle 2 hafta çalıştırmış olması ilginç
    Sadece e-posta ve parola yönetmek için SQL, aşırı bir tercih gibi görünüyor
    15 milyar kayıt olsa bile 600 GB civarıysa sıradan bir sunucuda da işlenebilirmiş gibi geliyor

    • Asıl sorun gerçekte 1,9 milyar SHA1 hash güncellemesiymiş
      Yerinde güncelleme yavaş kaldığı için ayrı bir tablo oluşturmuş; e-posta bildirimleri gönderirken de posta sağlayıcısı limitlerine takılmış
    • Ben de aynı fikirdeyim. Troy muhtemelen Microsoft'la ilişkisi nedeniyle Azure kullandı
      “Microsoft Regional Director and MVP” unvanı biraz kafa karıştırıcı
    • Azure SQL kesinlikle yanlış seçim. Sadece hash araması yapılacaksa ikili dosya tabanlı bir yapı çok daha verimli olur
      SHA1 hash'lerini sıralanmış 20 GB'lık bir dosyada tutup binary search ya da hash dağılımına dayalı bir indeksle tek I/O sorgusunda erişmek mümkün
      65.536 parçaya bölüp sıralarsanız bellek sorunu da çözülür
      Böyle bir yapı Blob Storage üzerinde Azure SQL'den yaklaşık 50 kat daha ucuza çalıştırılabilir

  • HIBP verilerinde bir tür son kullanma süresi var gibi görünüyor. Eskiden Dropbox ihlalinde e-postam görünüyordu ama artık kayıt yok
    Dropbox ihlal sayfası

  • Bitwarden / 1Password / Proton Pass arasında hangisinin daha iyi olduğunu merak ediyorum
    Proton Pass'e henüz güvenmek için erken gibi ve “her şeyi tek sepete koyma” sözü de aklıma geliyor
    Açık kaynak olduğu için Bitwarden'ı seçtim; ücretsiz kullanıcı tabanı büyük olduğundan sorunların hızlı ortaya çıkıp çözüleceğini umuyorum

    • 1Password kullanıyorum; arayüzü ve kurumsal yönetim özellikleri çok daha rahat
      İş hesabı kullanırsanız aile hesabının ücretsiz gelmesi de avantaj
      Ama Bitwarden'ın açık kaynak yaklaşımı da kesinlikle dikkate değer

  • Bu yazının başlığı “1,3 milyar parola sızdırıldı” olsaydı daha doğru olurdu
    Sayı biraz daha küçük ama anlamı çok daha büyük

    • Gerçek parola sayısı muhtemelen daha da azdır 😉