RockYou2025: Samsung, GitHub ve Devletler Çökerken – 16 Milyar Şifrenin Sızdığı Gün
1 Haziran 2025 – İnternetin Kanadığı Gün
1 Haziran 2025, saat 05:17 (TSİ). Karanlık internetin derinliklerinde, yalnızca en deneyimli siber suçluların bildiği bir forumda bir mesaj belirdi. Kullanıcı adı “X_Zero” olan biri şöyle yazdı:
16 milyar kimlik bilgisi. Taze loglar. Kopya yok. RockYou2025. Ayna 1 aktif. Ne yapacağınızı biliyorsunuz.
Kısa. Gizemli. Felaket habercisi.
Sadece iki saat içinde, Hudson Rock ve Cybernews araştırmacıları doğruladı: tarihin en büyük şifre sızıntısı başlamıştı. Otuz veri seti. 16 milyardan fazla kullanıcı adı ve şifre. Ve bu kez eski veriler değil — yeni, aktif, tehlikeli bilgilerdi.
Sızıntının Anatomisi
Bu devasa veri dökümü, RockYou2025 olarak adlandırıldı. Önceki RockYou2021 ve RockYou2024 sızıntılarının karanlık bir evrimiydi. Ancak bu kez veriler daha temiz, daha düzenli ve çok daha ölümcüldü. Her kayıt şunları içeriyordu:
Bir URL veya alan adı
Bir kullanıcı adı veya e-posta adresi
Düz metin (şifrelenmemiş) şifre
Çoğu zaman cihaz bilgileri ve zaman damgaları
Bu bilgiler, infostealer adı verilen kötü amaçlı yazılımlar aracılığıyla toplanmıştı — RedLine, Raccoon ve Vidar gibi zararlılar, oltalama e-postaları, korsan yazılımlar veya sahte tarayıcı eklentileriyle cihazlara sızıyor, ardından sessizce şifreleri, çerezleri, kripto cüzdanlarını ve daha fazlasını çalıp suç ağlarına gönderiyordu.
Felaketin Kapsamı
Avrupa’da güneş doğmadan önce, sızıntı yangın gibi yayılmıştı. Analistler, verilerin neredeyse tüm büyük platformlara ait olduğunu doğruladı:
Google, Apple, Facebook, Telegram, GitHub — hepsi listede
Bankacılık sistemleri, devlet portalları, sağlık altyapıları — ifşa olmuştu
Kurumsal VPN’ler ve iç sistemler — açığa çıkmıştı
Daha da korkutucu olanı: birçok şifre 90 günden daha yeniydi. Bu da, zararlı yazılımların hâlâ aktif olduğunu ve veri toplamaya devam ettiğini gösteriyordu.
Fail(ler): Dijital Bir Hydra
Önceki mega sızıntılar genellikle tek bir gruba atfedilirdi. Ancak RockYou2025, birden fazla tehdit aktörünün izlerini taşıyordu. Bu, tek bir kaynaktan değil; şu bileşenlerden oluşan bir birleşik veri arşiviydi:
Infostealer logları
Credential stuffing (şifre deneme) listeleri
Daha küçük sızıntılardan derlenmiş veriler
Belki de devlet destekli casusluk kampanyaları
Analistlerin radarına sıkça giren bir isim vardı: APT36, yani Transparent Tribe. Pakistan bağlantılı bu grup, daha önce Hindistan’a yönelik siber casusluk faaliyetleriyle biliniyordu. RockYou2025 ile doğrudan bağlantıları kanıtlanmamış olsa da, 2025 baharındaki yeniden ortaya çıkışları şüpheleri artırdı.
Dijital Bir Çernobil
Aynı gün FBI acil uyarı yayınladı. Google, kullanıcıları passkey sistemine geçmeye çağırdı. Bitwarden ve 1Password gibi şifre yöneticileri %400’lük bir indirme artışı yaşadı. Ama artık çok geçti.
RockYou2025 sadece bir sızıntı değildi. Bu bir dijital Çernobildi — sessiz, görünmez ve yıkıcı. Ve bu sadece başlangıçtı.
2 Haziran sabahı, dünya dijital bir kabusa uyandı.
Şirketlerin güvenlik ekipleri acil durum moduna geçti. Devlet kurumları kriz protokollerini devreye soktu. Milyonlarca kullanıcı — öğrencilerden CEO’lara kadar — hesaplarının ele geçirildiğine dair uyarılar aldı. RockYou2025 sızıntısı, 16 milyardan fazla benzersiz kimlik bilgisiyle, internetin her köşesine yayılmıştı.
Küresel Tepki
Saat 11:00 (TSİ) itibarıyla, FBI acil bir bülten yayınladı: Kimlik bilgisi doldurma (credential stuffing) saldırıları an meselesiydi. Aynı gün içinde Google, Apple ve Microsoft, kullanıcılarını passkey sistemine geçmeye çağırdı — şifresiz, daha güvenli bir kimlik doğrulama yöntemi.
3 Haziran’a gelindiğinde, Bitwarden, 1Password ve NordPass gibi şifre yöneticileri %400’lük bir kullanıcı artışı bildirdi. Telegram ve GitHub, şüpheli hesapları kilitlemeye başladı. Avrupa ve Asya’daki birçok banka, çevrimiçi erişimi geçici olarak durdurdu ve zorunlu şifre sıfırlamaları başlattı.
Hedef Alınanlar
Sızıntının etkilediği kurumlar arasında devler vardı:
Samsung Galaxy: 800 milyon kullanıcı verisi sızdırıldı
PowerSchool: 62 milyon eğitim kaydı ifşa oldu
Fas Ulusal Sosyal Güvenlik Kurumu: 2 milyon kimlik bilgisi açığa çıktı
Telegram & GitHub: Geliştirici ve iletişim platformları hedef alındı
Devlet portalları: Hindistan, Brezilya ve AB ülkeleri dahil
Hatta bazı askeri yüklenici firmaların ve sağlık sistemlerinin giriş bilgileri bile sızıntıda yer aldı — bu, hiçbir sektörün güvende olmadığını gösteriyordu.
Fail(ler) Kimdi?
Adli analizler, sızıntının kaynağının infostealer logları, credential stuffing listeleri ve daha önce yayınlanmamış veri ihlallerinden oluşan birleşik bir arşiv olduğunu ortaya koydu. Kullanılan kötü amaçlı yazılımlar — RedLine, Raccoon ve Vidar — korsan yazılımlar, sahte tarayıcı eklentileri ve oltalama e-postaları aracılığıyla milyonlarca cihaza sızmıştı.
Hiçbir grup doğrudan sorumluluğu üstlenmedi. Ancak dijital izler, birkaç tanınmış tehdit aktörünü işaret ediyordu. En dikkat çeken isim: APT36 — yani Transparent Tribe. Pakistan bağlantılı bu grup, Hindistan’a yönelik siber casusluk faaliyetleriyle biliniyordu. RockYou2025 ile doğrudan bağlantıları kanıtlanmamış olsa da, 2025 Mayıs’ındaki artan faaliyetleri, kaosu fırsata çevirdikleri yönünde şüpheleri artırdı.
Bir Dönüm Noktası
10 Haziran’a gelindiğinde, siber güvenlik dünyası hâlâ toparlanmaya çalışıyordu. Şirketler toplu şifre sıfırlamaları başlattı. Devletler acil siber güvenlik ekipleri kurdu. Ve halk — çoğu ilk kez — dijital kimliğinin ne kadar kırılgan olduğunu fark etti.
RockYou2025 sadece bir veri sızıntısı değildi. Bu bir uyarıydı. Modern çağda, tekrar kullanılan bir şifrenin bir silaha dönüşebileceğinin kanıtıydı.
Sources
