Pazartesi günü Pastebin’e gönderilen isimsiz bir postta 1300 kişinin e-posta adresleri ve parolalarının çalındığı iddia edildi. Postta ayrıca içinde milyarlarca PayPal hesabının olduğu iddia edilen bir dosyaya sponsorlu link de bulunmaktaydı.
Pastebin’e gönderilen postta 23.873.667.087 adet hacklenmiş hesabın indirilebileceği söylenen bir Ad Fly linki var. Bahsi geçen link ise ölü, çünkü artık öyle bir domain adı bulunmamakta.
Listenin gerçekliğiyle ilgili ise soru işaretleri var. Dosyadaki bazı e-posta adresleri incelendiğinde tam listenin Pastebin’e iddia edilen PayPal hesapları olmaksızın 28 Kasım günü gönderildiği görüldü. Liste takip eden günler içinde iki kez daha gönderildi ama gönderiler Madridninitoz ve Fall9100 nickli iki farklı hacker tarafından yapıldı.
Ayrıca, listeyi gönderen hackerlar bunun ya rastgele bir dizi e-posta kullanıcı adı ve parolası olduğunu, ya ele geçirilmiş PayPal hesapları olduğunu ya da IMVU tabanlı alışverişlerle bağlantılı PayPal hesapları olduğunu iddia etti.
Bilmeyenler için, IMVU Second Life’a benzeyen, kendi ekonomisi ve para birimi olan bir sanal dünya.
Dolayısıyla listelerin doğruluğu bir hayli şüpheli. IMVU veya PayPal’ın hacklendiğiyle ilgili somut bir kanıt da yok. Üstelik, dünyada şu an 7 milyar insanın yaşadığı düşünülürse 23 milyar hesap oldukça uçuk bir rakam.
Salted Hash olayla ilgili yorumlarını almak için IMVU ve PayPal’a ulaştı ve ellerindeki isim listesini ellerindeki verilerle karşılaştırabilmeleri ve ortada bir sorun olup olmadığını teyit edebilmeleri için şirketlerle paylaştı.
Şimdilik, eğer bu web sitelerini kullanıyorsanız ve hesaplarınızla ilgili endişeniz varsa ne olur ne olmaz diyerek parolanızı değiştirmenizde fayda var.
Tekrar edelim, listenin ve diğer iddiaların doğruluğu şüpheli, ancak 1300 kişinin hesap bilgilerinin şu anda internete düşmüş olduğu gerçeği var.
Dolaşıma giren bu listedeki tüm hesaplar “Have I Been Pwned?” veritabanına girilmiş durumda. Bu hesaplar artık işaretli olarak gözükecek.
PayPal listeyi incelemeye aldıklarını ve yeni bilgiler toplamakta olduklarını doğruladı. Diğer yandan, bünyeleri dahilinde bir güvenlik ihlali olduğunu henüz teyit etmiş değiller, ayrıca milyarlarca hesabın çalındığı iddiasına da şüpheyle yaklaşıyorlar çünkü PayPal’ın yalnızca 173 milyon aktif üyesi var.
Öte yandan, daha fazla bilgiye ulaşmak isteyen Salted Hash bahsi geçen listenin bir kopyasına yarı özel bir forumda rastladı. Listeyi postalayan, “m0rg4n” nickli kişi ayrıca İsrail’de ele geçirilmiş Facebook hesapları, çeşitli çalıntı kredi kartı hesap bilgileri ve Kosta Rika’daki bir televizyon kanalına ait veritabanı konfigürasyonunu paylaşıyor.
Bütün bunların PayPal ve IMVU hırsızlıklarıyla bir ilgisi olmayabilir. Şu an bu şirketlere ait bilgilerin çalındığına dair hırsızların kendi iddialarından başka bir delil yok. Yine de paylaşılan verinin bir oltalama kampanyasının bir parçası olduğu, kötü amaçlı yazılım bulaşmış bilgisayarlardan toplandığı veya her ikisinin birden gerçekleştiği öne sürülebilir.
PayPal’dan bir sözcü, şirketin güvenlik uzmanlarının müşteri bilgilerinin çalındığına dair iddiaları içeren raporları incelediğini ve bu raporların gerçeği yansıtmadığını düşündüklerini söyledi.
Bunun yanı sıra, bu hesapların doğrudan PayPal’la değil, PayPal’la bağlantılı üçüncü bir partiyle ilgili olabileceğine yönelik sorular da gündemde. PayPal’ın kendilerine iletilen listedeki hesapların aktif PayPal müşterilerine ait olup olmadığı veya herhangi bir PayPal ürünü veya hizmetiyle bir bağlantısı olup olmadığı sorularına vereceği yanıt bekleniyor.