Parolalarınız çalınmış olabilir; tarihin en büyük bilgi sızıntısı, 16 milyar bilgi açığa çıktı

Bu sızıntı, bugüne kadar kaydedilen tüm bilgi ihlallerinden hem daha büyük çaplı hem de yeniliğiyle dikkat çekiyor. Sızdırılan bilgiler, geçmişteki tekrar kayıtlar değil; direkt kullanıma hazır, yeni ve faal bilgilerden oluşuyor.

Sızıntıyı ortaya çıkaran CyberNews isimli kuruluş oldu. 2025’in başından Haziran ayına kadar süren tahlillerde, 30 farklı data seti incelendi ve her birinde milyonlarca, kimi durumlarda ise 3,5 milyara kadar, kullanıcı kaydına ulaşıldı. Bu olay, sadece hacmiyle değil, barındırdığı “yeni ve temiz” bilgilerle de tarihin en büyük kimlik bilgisi sızıntısı olarak kayıtlara geçti.

ESET Türkiye Eser ve Pazarlama Müdürü Can Erginkurban “Devasa bir sızıntı olan bu yeni olayın, data güvenliğinde en büyük tehdit hâline dönüşmesi an sıkıntısı. Hem ferdî hem de kurumsal olarak güvenliğimizi test etmemiz; parola siyasetlerini, MFA’yı, passkey kullanımını, patch süreçlerini yine gözden geçirmemiz gerekiyor. Elimizde artık yalnızca eski sızıntıların tekrarları değil, infostealer’larla çalınmış yeni ve etkin kullanıcı oturum açma bilgileri var. Bu 16 milyarlık data seti, saldırganlara direkt e-posta, toplumsal medya, devlet sistemleri ve geliştirici portallarına erişim imkânı sunuyor. Infostealer’lar artık yalnızca masaüstünü değil, kripto cüzdanlardan tarayıcı oturumlarına kadar her noktayı hedefliyor. Bu hücumlar, bireyleri olduğu kadar kurumları da direkt tehlikeye atıyor”açıklamasını yaptı.

Etkilenen kurumlar ve platformlar

Bu devasa sızıntı hem ferdî kullanıcıları hem de köklü birçok kurumu tesiri altına aldı. Açığa çıkan bilgilerin içeriği özetle şöyle:

• Apple, Google, Facebook, Instagram: Dünya çapında milyarlarca kullanıcıya sahip bu platformlarda milyonlarca parola ve hesap bilgisi sızdırıldı.
• GitHub: Geliştirici hesapları da hedefteydi — kimi data setlerinde GitHub da bulunuyor.
• Telegram: Kriptolu iletileşme uygulaması da çalınan bilgiler ortasında.
• Devlet hizmetleri: Bazı anonim hesaplarla birlikte söz edilen kamu portalları — bilhassa resmi e‑devlet sistemleri ve biletleme sistemleri — da sızdırıldı.

Ayrıca  “government” ibaresiyle geçen sızıntılar, sadece ferdî toplumsal medya hesapları değil; tıpkı vakitte kurumsal ve kamuya ilişkin hesapların da risk altında olduğunu gösteriyor.

Infostealer nedir, ne üzere tehditler oluşturur?

Infostealer, “information-stealer” teriminin kısaltmasıdır. Bu ziyanlı yazılım çeşidi, bir aygıt ele geçirildiğinde otomatik olarak çalışarak kullanıcı ismi, parola, çerez, tarayıcı geçmişi, kredi kartı ya da kripto cüzdan üzere kritik bilgileri toplar ve saldırgana gönderir.  Enfekte aygıtlarda infostealer, tarayıcı depoları, lokal evraklar, uygulamalar üzerinden biometrik oturum bilgisi toplar ve bu bilgileri kullanır.

Infostealer’lar 2025 yılında çok büyük oranda artış gösterdi. IBM üzere firmaların bilgilerine nazaran, ziyanlı yazılım tabanının yüzde 24’ünü infostealer’lar oluşturuyor. Ayrıyeten 2024 yılı olarak (yaklaşık) 2,1 milyar credential çalma olayı tespit edilmiştir ki bu fidye yazılımları dahil tüm ihlallerin yüzde 60’ından fazlasıdır.

ESET Türkiye Eser ve Pazarlama Müdürü Can Erginkurban hem bireylerin hem özel ve kamu kurumlarının almaları gereken tedbirler olduğunun altını çizerek şu tekliflerde bulundu;

Bireysel kullanıcılar için teklifler:

• Farklı ve güçlü parolalar kullanın: Her platform için eşsiz, en az 12-16 karakterden oluşan; harf, sayı ve özel karakter içeren güçlü parolalar oluşturun.
• Parola yöneticisi kullanın: ESET Password Manager üzere muteber araçlarla parolalarınızı inançlı bir halde yönetin ve saklayın.
• Çok faktörlü kimlik doğrulama (MFA) tercih edin: SMS ya da e-posta yerine, mümkünse Authenticator uygulamaları yahut FIDO2 takviyeli donanım anahtarlarını kullanın.
• Passkey sistemlerine geçin: Google ve Apple üzere platformların desteklediği şifresiz giriş formülleri daha inançlıdır.
• Darkweb izleme hizmetlerinden faydalanın: Kişisel bilgilerinizin sızdırılıp sızdırılmadığını öğrenmek için bu hizmetleri tertipli olarak kullanın.
• Cihazlarınızı tertipli olarak ziyanlı yazılımlara karşı tarayın: Antivirüs, anti-malware ve yerleşik sistem müdafaa yazılımlarınızı yeni tutun.
• Oltalama (phishing) hücumlarına karşı dikkatli olun: Şüpheli e-posta ve iletilere tıklamaktan kaçının.
• Hesaplarınızın aktifliğini denetim edin: Giriş geçmişlerini inceleyin, tanımadığınız aygıtları tespit ettiğinizde oturumu sonlandırın.

Kurumlar için teklifler:

• Zero Trust (sıfır güven) yaklaşımı benimseyin: Tüm erişimleri daima denetleyin, iç ağlarda bile itimadı minimumda tutun.
• Privileged Access Management (PAM) uygulayın: Yöneticilere ilişkin erişimlerin takibini yapın, gerekli kayıtları tutun.
• Gelişmiş güvenlik tahlilleri kullanın: Güvenlik duvarı (WAF), uç nokta tespiti (EDR), yönetilen tehdit algılama (MDR) üzere araçlarla tüm ağı koruyun.
• Telemetri ve SIEM sistemlerinden yararlanın: Log tahlilleriyle olağandışı hareketleri tespit edin.
• Çalışan eğitimlerini sistemli hâle getirin: Parola siyasetleri, oltalama e-postaları ve toplumsal medya kullanımı üzere mevzularda eğitimler verin.
• Yama ve açık idaresini ihmal etmeyin: Sistem güncellemelerini sistemli olarak uygulayın; kritik açıklara süratli müdahale edin.
• Siber tehdit istihbaratına entegre olun: Darkweb izleme hizmetleri ve tehdit zekâsı tahlilleriyle evvelce bilgi sahibi olun.
• Sızma testleri ve Red Team çalışmaları yapın: Aylık yahut üç aylık dönemlerle penetrasyon testleri uygulayın.

Detaylı bilgi:

Devasa veri sızıntısı: 16 milyar kayıtlı veri açığa çıktı!

Teknolojioku

Teknolojioku