Olayın Arka Planı

Carrefour S.A., 2023 yılı içinde Fransız Veri Koruma Otoritesi’ne (DPA) beş ayrı veri ihlali bildiriminde bulundu. Şirket, ihlallerin büyük olasılıkla “credential stuffing” yoluyla (başka kaynaklardan sızdırılmış kullanıcı bilgilerinin yeniden kullanımı) gerçekleştiğini belirtti. Ancak ilk ihlalin Ekim 2022'de fark edilmesine rağmen, bildirim Ocak 2023'e kadar yapılmadı.

Carrefour’a göre ihlalden etkilenen kullanıcı sayısı 974 idi; ancak DPA, yaklaşık 119.000 hesabın etkilendiğini tespit etti. Erişim sağlanan veriler arasında kullanıcıların ad-soyad bilgileri, iletişim bilgileri ve adresleri yer alıyordu.

Credential stuffing Nedir?

Farklı platformlarda ele geçirilmiş kullanıcı adı ve şifre kombinasyonlarının başka sitelerde otomatik olarak denenmesiyle yapılan bir siber saldırı yöntemidir. Saldırganlar, daha önce gerçekleşmiş veri ihlallerinden sızan giriş bilgilerini kullanarak binlerce siteye aynı kombinasyonlarla giriş yapmayı dener. Bu saldırı yöntemi, kullanıcıların farklı platformlarda aynı şifreleri kullanması nedeniyle oldukça yüksek başarı oranına sahiptir.

Genellikle botlar aracılığıyla yürütülen bu saldırılar, düşük maliyetli ve tespiti zor olduğu için siber suçlular arasında yaygındır. Başarılı........

© Hukuki Haber