Bu ayın başlarında, “RockYou2024” adlı bir .txt dosyasında yaklaşık 10 milyar şifrenin sızdırılmasıyla birlikte birçok internet kullanıcısı panik halinde şifrelerini değiştirmek için harekete geçti. Ancak bir Türk siber güvenlik araştırmacısına göre sızıntı sanıldığı kadar büyük bir tehdit olmayabilir. Şifre veritabanı ilk bakışta gerçek gibi görünse de iddia edilen kimlik bilgilerinin büyük bir kısmının hiçbir gerçek web sitesinin kabul etmeyeceği tarzda ve yapay zeka tarafından üretilmiş olduğu bildiriliyor.
WizCase’de siber güvenlik araştırma ekibi lideri olan Ata Hakçıl, kapsamlı araştırmasının ardından bu gerçeği ortaya çıkardı. Hakçıl, 155 GB’lık RockYou2024 dosyasını açtıktan sonra rastgele, okunamayan satırları ve çoğu web sitesinde izin verilmeyen altı karakterden kısa şifreleri filtreledi. Bu işlem yaklaşık 1.9 milyon satırı listeden kaldırdı.
Kalan kimlik bilgilerini inceleyen Hakçıl, dosyanın “Markov zinciri ile üretilmiş anlamsız karakterlerden” oluştuğunu fark etti. Örneğin, birçok şifre 100 ila 200 karakter uzunluğundaydı ve pratikte kullanılamazdı. Hakçıl listeyi 6 ila 12 karakter uzunluğundaki şifrelerle sınırlandırdığında, listenin boyutu 5.9 milyara düştü. Yani RockYou2024 sızıntısının en az %40’ının sahte olduğu tahmin ediliyor.
Geriye kalan 5.9 milyar şifrenin de bir kısmının yapay zeka tarafından üretildiği düşünülüyor ancak tam olarak kaçının sahte olduğunu belirlemek zor. Hakçıl, bu şifrelerin şifre yöneticileri tarafından önerilen veya otomatik olarak doldurulan şifreler olmadığını çünkü sıralı karakter dizileri (örneğin, ‘!Zorack’ ve ‘!ZoraCk’), şifre yöneticilerinin desteklemediği uzunluklarda şifreler içerdiğini açıklıyor.
Peki bir siber suçlu neden sahte bir şifre sızıntısı oluştursun? Hakçıl’a göre bu tür sahte sızıntılar genellikle hacker forumlarında itibar ve kredi kazanmak için yapılıyor. Her ne kadar RockYou2024 şifre veritabanının büyük bir kısmı sahte olsa da, bazı internet kullanıcılarının gerçek şifrelerinin de sızdırılmış olması olası. Hakçıl, herkese güçlü şifreler kullanma ve iyi siber güvenlik alışkanlıklarına öncelik verme çağrısında bulunuyor.
