24 milyar çalınmış kullanıcı adı ve şifre tek bir yerde toplandı - herkesin bağlanabileceği açık bir sunucuda. Cybernews araştırmacılarının bulgusu, sıradan bir "N milyon sızıntı" değil. Bu, bir endüstrinin vitrinidir: bilgi hırsızları kimlik bilgilerini çalar, kombinasyon listeleri bunları toplar ve bot orduları her denemeyi gerçek bir kullanıcı gibi maskeleyerek sitelerden geçirir. Ne bulduklarını, kimlik bilgisi yerleştirme (credential stuffing) işleminin nasıl yapıldığını ve bu gölgeli pazarın neden yasal web tarama ve çoklu hesap yönetimini etkilediğini inceleyelim.
Ne oldu: 8,3 TB ve 24 milyar kayıt bir sunucuda
12 Haziran 2026'da Cybernews araştırmacıları, 8,3 terabayt boyutunda açık bir Elasticsearch kümesi buldu ve içinde 24 milyar kayıt kimlik bilgisi vardı. Veritabanı, şifre veya herhangi bir kimlik doğrulama ile korunmuyordu - adresi bilen herkes onu okuyabiliyordu. Bulgu yayınlandıktan kısa bir süre sonra sunucu çevrimdışı alındı, bu nedenle araştırmacılar sahibine ulaşamadı.
Bu veri kümesi 36 kaynaktan toplandı ve bu, anahtar bir detaydır. Çoğu, "koleksiyonlar" olarak adlandırılan (yaklaşık 22,6 milyar kayıt) ama geri kalanının yapısı özellikle dikkat çekicidir:
- 1,7 milyardan fazla kayıt doğrudan Telegram kanallarından çekilmiştir - 36 kaynaktan 30'u çalınmış verilerin açıkça satıldığı kanallar olmuştur;
- yaklaşık 260 milyon kayıt - "Darkside" ile ilgili kanallardan;
- yaklaşık 150 milyon - yerel veritabanı dökümleri;
- yaklaşık 146 milyon - önceki sızıntılardan derlenmiş kombinasyon listeleri.
İçinde sadece "e-posta ve şifre" yok. Veri kümesinin önemli bir kısmı, bilgi hırsızlarının loglarıdır: RedLine, Lumma ve Vidar gibi zararlı yazılımlar, enfekte olmuş tarayıcıdan her şeyi çeker. Daha kapsamlı loglarda, kaydedilmiş şifreler, oturum çerezleri ve token'lar - iki faktörlü kimlik doğrulamayı atlatanlar dahil, otomatik doldurma verileri, cihaz parmak izleri ve bazen kripto cüzdanları bulunur. Her kayıt genellikle şifrenin uygun olduğu hizmetin URL'si ile birlikte gelir - yani "nereye giriş yapacağınız" konusunda hazır bir talimat.
Bir başka endişe verici detay: dolaylı işaretler (veri kümesinde 2026 yılına kadar taze materyallere bağlantılar bulundu) gösteriyor ki, sahibi veritabanını düzenli olarak güncellemektedir. Bu, arşivlik bir çöp yığını değil, canlı, güncellenen bir araçtır.
Çalınan şifrelerden nasıl para kazanılıyor: kimlik bilgisi yerleştirme
Kendiliğinden "kullanıcı adı-şifre" listesi, gerçek sitelerde test edilmediği sürece işe yaramaz. Bununla credential stuffing - kimlik bilgisi yerleştirme ile ilgilenir: otomatik botlar çalınan çiftleri alır ve yüzlerce hizmette giriş yapmaya çalışır, insanların birden fazla yerde aynı şifreyi kullandığını varsayarak.
Sorunun ölçeği, 2025 yılına ait Verizon DBIR verilerinde iyi bir şekilde görünmektedir. Kimlik bilgisi yerleştirme, SSO sağlayıcılarının günlük giriş denemelerinin medyan %19'unu oluşturuyordu, büyük işletmelerde bu oran %25'e kadar çıkıyordu ve en kötü kaydedilen günde - toplam giriş trafiğinin %44'üne kadar ulaşıyordu. Çalınan kimlik bilgileri, 22% onaylı hack olayının başlangıç vektörüydü. Sadece 2025 yılı boyunca karanlık ağ kombinasyon listelerinden yaklaşık 2 milyar benzersiz çift toplandı - ve şimdi bir sunucuda aniden 24 milyar kayıt vardı.
Ve burada, proxy endüstrisi ile doğrudan ilgili olan kısım başlıyor. İlk denemelerde yakalanmamak için, saldırganlar istekleri yerel ve mobil proxy havuzları üzerinden geçirir: her giriş denemesi, gerçek bir sağlayıcı veya mobil operatörden yeni bir IP adresi ile yapılır. Bu, site için bir şüpheli makine gibi görünmek yerine, farklı şehirlerden gelen binlerce "normal kullanıcı" gibi görünür. Bir IP'den gelen isteklerin sıklığına dayalı klasik koruma, bu tür bir rotasyonda neredeyse işe yaramaz hale gelir.
Neden bu, yasal tarama ve çoklu hesap yönetimini etkiliyor
Veri toplama, SMM otomasyonu veya iş için birden fazla hesap yönetenler için bunun ne önemi var? Çünkü anti-bot sistemleri niyetleri ayırt etmez - desenleri ayırt eder. Kötü niyetli kişiler kimlik bilgisi yerleştirmeyi gerçek trafik gibi maskelemeye daha aktif hale geldikçe, Cloudflare, Akamai, DataDome ve AWS WAF, herkes için kısıtlamaları daha da sıkılaştırır.
Buradan, tespit seviyesinin IP'den kimlik seviyesine kayması ortaya çıkar. Bugün filtreler, adres yerine, müşterinin nasıl davrandığına ve ağ parmak izinin nasıl göründüğüne daha fazla odaklanır:
- TLS ve HTTP parmak izi (JA3/JA4) - eğer el sıkışma belirtilen tarayıcı ile uyuşmuyorsa, müşteri şüpheli olarak işaretlenir;
- zamanlama davranış analizi - gerçek bir insanın eylemleri arasındaki duraklamalar "dalgalanırken", scriptler genellikle neredeyse aynı aralıkları verir;
- başarı oranlarındaki anormallikler - birçok hesap arasında dağılmış nadir başarılı girişler - stuffing'in karakteristik imzasıdır;
- başlıklar ve JavaScript'teki boşluklar - sayfayı tamamen render etmeyen botlar, çerezleri ve JS'nin sağladığı değerleri kaybeder.
Bu nedenle, 2026 yılında tarama giderek kimlik oyununa dönüşüyor ve IP sayısı yarışına dönüşmüyor - TLS ve JA4 parmak izleme mekanizmasını ayrı olarak inceledik. Yasal bir proje için basit bir sonuç: proxylerin kalitesi ve "temizliği" artık sayılarından daha önemlidir. Dün başkalarının şifrelerini denemek için kullanılan bir IP, bugün itibariyle itibari sistemlerin kara listelerinde yer alıyor - ve yasal trafiğinizi de beraberinde çekiyor.
Bir de itibari bir boyut var. Çalınmış Smart TV'lerden oluşan botnet skandalları ve son zamanlarda gölgeli proxy ağlarının ortadan kaldırılması, "yerel" pazarın şüpheli kaynaklardan beslendiğini gösterdi. İşletmeler için bu, IP'nin şeffaf bir kökeni ve net bir KYC ile sağlayıcı seçme sinyali, en ucuz kalitesiz havuz yerine. Yasal yerel proxyler ve mobil proxyler, tüm bunların amacı olan "temiz" itibarı sağlar - credential stuffing trafiği ile aynı segmentte yer alma riski olmadan.
Şu anda ne yapmalıyız
Normal bir kullanıcı için bu tür sızıntılara karşı en büyük koruma, şifrenin kendisi değil, onun tekrarlanamazlığıdır. Bir forumun şifresini çalan bir bilgi hırsızı, aynı şifre e-posta ve bankaya uygunsa, o kadar tehlikelidir.
- Her hizmet için benzersiz bir şifre ve bunları akılda tutmak için bir şifre yöneticisi. Kimlik bilgisi yerleştirme, yalnızca tekrar kullanımda yaşar.
- Kritik hesaplarda iki faktörlü kimlik doğrulama veya passkeys - e-posta, banka, mağazalar, sosyal medya. Sızıntı olan bir şifre ile ikinci faktör olmadan giriş yapmak daha zordur.
- Oturum token'larını unutmayın. Bilgi hırsızları, şifre ve 2FA girişini aşan çerezleri çalar - bu nedenle enfekte olduğundan şüpheleniyorsanız, sadece şifreyi değiştirmekle kalmayın, tüm cihazlarda aktif oturumları da sonlandırın.
- Herhangi bir şeyi başlatmayın. Bilgi hırsızları, kötü niyetli reklamlar, sahte "tarayıcı güncellemeleri", hacklenmiş yazılımlar, oyun hileleri, şüpheli uzantılar ve ClickFix saldırıları aracılığıyla yayılır; burada kurbanı kendisi bir komut vermeye ikna ederler.
Web siteleriyle yasal olarak çalışanlar için ders farklıdır: kimlikleri ayırın ve karıştırmayın. Ayrı bir hesap seti - ayrı bir temiz IP, tutarlı bir parmak izi ile ayrı bir tarayıcı profili. Anti-tespit senaryoları böyle inşa edilir ve bu nedenle ucuz "gri" proxy havuzu, bugün projeye zarar vermekten daha tehlikeli hale gelir.
Sonuç
24 milyar kayıt, şifresiz bir sunucuda - bu, rekor için bir rekor değil, çalışan bir ekonominin fotoğrafıdır: bilgi hırsızları girişte, kombinasyon listeleri ortada, yerel proxyler aracılığıyla kimlik bilgisi yerleştirme çıkışta. İnsanlar şifreleri yeniden kullanmaya devam ettikçe, bu konveyör karlı olacak ve anti-bot koruması daha da sertleşecektir. Hijyeni göz ardı eden kaybedecek: benzersiz şifreler ve 2FA olmayan sıradan bir kullanıcı - ve altyapının temizliğinden tasarruf etmeye çalışan bir işletme. Kimliğin IP yerine inşa edildiği bir dünyada, şeffaflık ve kaliteye yapılan yatırım artık bir lüks olmaktan çıkıyor.
