İçeriğe geç

LinkedIn verileri ve Türk bankacılar

Uyarı: burada yayınlanmış olan LinkedIn verileri farklı bir kaynaktan alınmış olup, şifreler kişisel verilerin korunması kanununa göre tamamen anonim olarak ele alınmış olup elle müdahalede bulunulmamıştır.

Eğer herhangi bir bankanın mobil uygulamasını kullanıyorsanız mutlaka belirli dönemlerde şifrelerinizi zorla karmakarışık şifrelerle değiştirmenizi isterler. Peki gerçekten bankalarda çalışan insanların şifreleri çok mu karışık? Veya amacımız şifremizi unutmak değilse neden zor şifreler giriyoruz? Bu yazıda biraz bunu açıklayacağım ve banka çalışanlarını analiz edeceğim.

Öncelikle şunu açıklayayım neden zor şifreler girmemiz gerekiyor?

1. Bölüm: Neden zor şifreler önemli?

Birkaç farklı nedeni var en popüler saldırı tekniklerinden bir tanesi kaba kuvvet saldırılarından (brute force) korunmak içindir. Kaba kuvvet saldırılarında saldırganlar rastgele şifreler deneyen yazılımlarla şifrelerinizi kırarak hesaplarınıza erişir. Birçok web site artık bunun önüne geçmek için “ben robot değilim” adında seçim yapmanızı isteyen kutucuklar getirerek bunun önüne geçti.

Bir diğer konu ise bir web siteye kayıt olduktan sonra veri tabanlarında bilgilerinizin şifrelenerek tutulması. Genelde bütün verilerin şifrelenmesi yerine sadece şifreleriniz şifrelenir. Çünkü bazı şifreleme metodları şifrelendiği gibi çözülemez. Bunlara örnek vermek gerekirse MD5, SHA-1 gibi şifreleme metodları herhangi bir algoritmayla çözülemez. Siz bir web siteye giriş yapmaya çalıştığınızda yazdığınız şifre tekrardan şifrelenir ve veri tabanında diğer şifrelenmiş şifrelerle karşılaştırılır. Eğer birbiriyle uyuşan şifre varsa hesabınıza giriş yaparsınız.

Biliyorum bu kısım biraz karışık oldu. Daha iyi anlamanız için bir görselle anlatmaya çalışacağım.

Bundan dolayı eğer saldırganlar kayıt olduğunuz bir veri tabanına erişirse yine kaba kuvvet saldırısı ile belirli kelimeleri şifreleyerek veri tabanında bulunan şifrelerle karşılaştırırlar. Böylece şifrelerinize ulaşmış olurlar.

2. Bölüm : LinkedIn verileri ve Türk bankacılar

Buraya kadar her şey anlaşıldıysa asıl konumuza geliyorum. (Burada bir parantez açmak istiyorum. Burada kullandığım veriler 2012 yılına ait ve güncel değiller.)

Ben de buradan yola çıkarak 2012 yılında çalınan 2016 da internet üzerinde yayınlanan LinkedIn verilerini indirip bir analiz yapmak istedim. Ne kadar güvende olduğumuzu merak ettim. Verileri indirdiğimde çok eski oldukları için bir çoğu bozulmuştu. Yaklaşık 150 milyon veri sızdırıldı, ben 46 milyon tanesini kurtarmayı başarabildim. Burada şifreler SHA-1 olarak şifrelenmiş bulunuyor. Yani eğer zor bir şifre koyulduysa herhangi bir metodla kırmam çok zor olacak, kolay şifre koyulduysa çok kolay bir şekilde şifreler kırılacaktır.

Bu verileri alıp bir güzel Türkiye’de bulunan bankaların domainlerine ait mailleri ayıklayan bir kod yazdım.

Daha sonra bu kodlar içerisinde hiçbir şekilde mail adreslerini dahil etmeyerek sadece şifrelenmiş şifreleri banka isimlerine göre txt formatında kaydettim.

Son olarak bu şifreleri hiçbir wordlist hazırlamadan herkesin ulaşabileceği basit sha1 şifrelerini çözmeyi başarabilen hashes.com ve md5decrypt.net adreslerinden otomatik olarak şifreleri sorgulayabilecek bir bot yazdım.

3. Bölüm : Sonuçlar!

Sonuç olarak bana göre banka çalışanları güvenlik konusunda sınıfta kaldılar. Tabii bunu 2012’nin şartlarını düşünerek değerlendirmek daha mantıklı. 2012’nin şartlarının düşündüğümde yine sınıfta kaldılar.(bence) 🙂

Aşağıda bulunan verilerde sol üstte bulunan kısım banka adı ve kırıldı/kırılmadı bilgisini temsil etmektedir. Mavi renk toplam incelenen banka çalışanlarının şifrelerinin kırılma oranını, turuncu renk ise kırılmama oranını vermektedir.

Sonuç olarak buradan şifrelerimizde küçük harf , büyük harf ve özel karakterler kullanmamız gerektiğini, çalıştığımız şirket içerisinde kullandığınız mailler ile bir yere kayıt olurken 2 defa düşünmemiz gerektiğini çıkartıyoruz.

Daha fazla güvende kalmak için yapmamız gereken tek şey alışkanlıklarımızı değiştirmek.

https://enisgetmez.com/
https://instagram.com/enisgetmez
Tarih:Uncategorized

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir