Popüler bir bilgisayar korsanlığı forumunda bir kullanıcı, geçmişteki çeşitli ihlaller aracılığıyla elde edildiği düşünülen yaklaşık 10 milyar benzersiz düz metin parolayı sızdırdı.
Listeye, rockyou.txt dosya adından dolayı RockYou2024 adı verilmiştir.
Araştırmacılar şunu söylüyor: listenin saldırganların kaba kuvvet saldırısı yapması için bir değeri olsa da, herhangi bir web sitesinin bir tehdit aktörünün bu kadar önemli sayıda parolayı denemesine izin vermesi olası değildir. Ancak siber suçlular listeyi diğer ihlallerden gelen verilerle birleştirmek isterlerse, parolalar yeniden kullanılmışsa sonuç alabilirler ve bu da başarılı bir saldırıyla sonuçlanabilir kimlik bilgisi doldurma saldırısı.
Specops Software’de kıdemli ürün yöneticisi olan Darren James, “Veri kümesi, belirli bir karmayı kırma çabasının bir parçası olarak gerçekçi bir şekilde kullanılmak için çok büyük – saldırılarda başarılı bir şekilde kullanmak için çok fazla düşük kaliteli veri – ve verilerin değeri, yetenekli bir aktörün elindeki iyi hazırlanmış kelime listeleri ve kural setleriyle karşılaştırıldığında önemsiz” diyor.
Kullanıcılar dikkatliyse ve parolaları tekrar kullanmıyorsa muhtemelen güvendedir. Ayrıca parolalarının benzersiz ve karmaşık olduğundan emin olmalı ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) uygulamalıdırlar.
“[Instead of worrying about the dump]James, “Kuruluşlar, parolaları teşvik etmek, gerçek tehlikeye atılmış parolalara karşı koruma sağlamak ve özel engelleme listeleriyle hedefli kelime listesi saldırılarına karşı savunma yapmak gibi en iyi uygulamalara odaklanarak daha iyi sonuçlar elde edebilirler” diyor. “RockYou2024, tıpkı bir başka tıklama tuzağı derlemesi gibi.”