CREDENTIAL STUFFING ATTACK NEDİR?

Credential Stuffing Attack (kimlik bilgilerini doldurma), özellikle son dönemde karşımıza çok sık çıkan veri sızıntısı ya da siber saldırı sonucu verilerin çalınması vakaları ile yakından bağlantılı olan bir siber saldırı türüdür.

Credential Stuffing saldırıları, daha önceden çalınmış ya da sızmış büyük hacimli kullanıcı adı ve şifre kombinasyonlarının yine sistematik bir şekilde tabiri caizse “tutturana kadar” farklı internet sitelerinde denenmesiyle gerçekleşir. Bu saldırı türü, daha önceki yazılarımızda bahsettiğimiz parola püskürtme ya da kaba kuvvet saldırıları[1] olarak bilinen saldırı türünden farklıdır. Parola püskürtme saldırıları insanların sıkça kullandıkları şifrelerin kullanılmasıyla hesaplara yapılan sistematik bir siber saldırı türü iken credential stuffing yukarıda belirttiğimiz gibi elde edilmiş bilgilerin üçüncü taraf sitelerde de denenmesiyle gerçekleşir.

Daha rahat anlaşılması amacıyla bir örnek verelim: A kişisi farklı internet sitelerinde sahip olduğu tüm hesaplarının kullanıcı adını “abc123”, şifresini de “ankara111” yapmış olsun. A kişisinin üyesi olduğu sitelerden birinden kullanıcılarının bilgileri sızdığında, saldırganlar bu bilgileri ilgili site ile birlikte farklı birçok internet sitesinde dener ve bu sayede eldeki bir bilgi ile birden fazla siteye giriş sağlamış olur. Bu şekilde de başarılı bir credential stuffing saldırısı gerçekleşmiş olur.

Bu tür saldırılar Kişisel Verilerinin Korunması Kurulu’nun da kararlarında yer almıştır. Nitekim geçtiğimiz yıl credential stuffing yöntemi kullanılarak gerçekleştirilen saldırılara ilişkin (yayımlanan) üç adet veri ihlal bildirimi Kurum’a intikal etmiş, Kurul yaptığı değerlendirme neticesinde idari ve teknik tedbirlerin eksikliği nedeniyle ihlal bildiriminde bulunan veri sorumlularının cezalandırılmasına karar vermiştir. Bu İhlal bildirimlerinden bir tanesinde[2], bir oyuncak şirketine ait internet sitesine yapılan bir saldırı sonucu 29 müşterinin, başka bir tanesinde[3] bir e-ticaret şirketine yapılan saldırı sonucu 832 kullanıcı hesabının ve son olarak bir diğerinde[4] kişisel bakım sektöründe faaliyet yürüten bir şirketin internet sitesine yapılan saldırı sonucu 2092 kullanıcı hesabına erişim sağlandığı belirtilmiştir. Kurul ise ihlale ilişkin kararlarda iki faktörlü kimlik doğrulama yöntemi, sitenin kullanıcıları güçlü şifre oluşturması için zorlanması, kullanıcıların belirli zaman aralıklarında şifrelerini değiştirmelerinin sağlanması ve Veri Güvenliği Rehberi’ne uygun adımların atılması gerekliliğinden bahsederek veri sorumluları tarafından alınması gereken gerekli teknik ve idari tedbirlere ışık tutmuştur.

Kuruluşlar, bu saldırıya başta kurulun ilan etmiş olduğu mevzuata uygun gerekli önlemleri alarak daha önceki yazımızda bahsettiğimiz gibi 2FA (two/multi factor authentication) sistemini kullanabilir ve olağandışı bir cihaz ile giriş yapıldığında e-posta vasıtasıyla hesap sahibini bilgilendirebilirken kullanıcılar, olası bir çalıntı ya da sızıntı sonucunda farklı internet sitelerinde sahip olduğu tüm hesapların ele geçmesini önlemek için değişkenlik gösteren kullanıcı adı ve şifre kullanmaya özen göstermelidirler.

[1] İlgili yazı için bkz. https://www.linkedin.com/pulse/parola-p%25C3%25BCsk%25C3%25BCrtme-sald%25C4%25B1r%25C4%25B1lar%25C4%25B1-nedir-damnatio-memoriae/?trackingId=5BYzUZY7TBa5snFujEorwA%3D%3D (Erişim Tarihi: 15.12.2021)

[2] Detaylı bilgi için bkz. https://kvkk.gov.tr/Icerik/7016/-2020-567 (Erişim Tarihi: 15.12.2021)

[3] Detaylı bilgi için bkz. https://kvkk.gov.tr/Icerik/7017/2020-715 (Erişim Tarihi: 15.12.2021)

[4] Detaylı bilgi için bkz. https://kvkk.gov.tr/Icerik/7029/-2020-421 (Erişim Tarihi: 15.12.2021)