Credential Stuffing Nedir 
Sızıntı Parolalarla Otomatik Hesap Ele Geçirme
“Parola çalınmaz; çoğu zaman zaten ortadadır.”
— Ersan Karavelioğlu
Credential Stuffing Nedir
Credential Stuffing, daha önce yaşanmış
veri sızıntılarından elde edilen kullanıcı adı–parola çiftlerinin, otomasyon araçlarıyla başka platformlarda
toplu olarak denenmesi saldırısıdır.
Saldırgan parolayı kırmaz;
yeniden dener.
Neden Bu Kadar Etkilidir
Tamamen otomatiktir
İnsan hatasına dayanır
Parola tekrarını sömürür
Parola Reuse Gerçeği
Kullanıcılar aynı parolayı birçok yerde kullanır
Bir sızıntı, onlarca hesabı açar
Zincirleme felaket buradan doğar
Brute Force ile Farkı Nedir
Brute Force → tahmin eder
Credential Stuffing →
biliyormuş gibi dener
Bu yüzden daha sessiz ve hızlıdır
Saldırı Nasıl Gerçekleşir
Sızıntı listeleri (combo list)
Botlar + proxy’ler
Login endpoint’ine yağmur gibi istek
Başarı oranı düşük olsa bile
hacim kazanır
Neden Alarm Çalmaz
Girişler “doğru” görünür
IP’ler dağıtılmıştır
Trafik meşrudur
En Çok Hangi Sistemler Hedeflenir
E-ticaret
Finans
Oyun platformları
E-posta servisleri
Değeri olan her hesap
Credential Stuffing ile ATO İlişkisi
Başarılı giriş →
Account Takeover
ATO genelde bu saldırıyla başlar
Sessizdir, fark edilmesi zaman alır
MFA Bu Saldırıyı Durdurur mu
Evet, büyük ölçüde
Doğru yapılandırılmış MFA, başarı oranını çökertir
Ama MFA yoksa risk katlanır
Rate Limiting Yeterli mi
Tek başına hayır
Botlar IP değiştirir
Davranış analizi gerekir
Bot Detection Neden Önemli
İnsan gibi davranan botlar
Zamanlama, mouse hareketi, hız
Davranışsal sinyaller ayırt eder
Kullanıcı Tarafındaki En Büyük Hata
Aynı parola her yerde
Şifre yöneticisi kullanmamak
MFA’yı kapalı tutmak
Kurumlar Nerede Yanılır
Sadece login’e bakmak
Başarılı giriş sonrası davranışı izlememek
Saldırı
login’den sonra fark edilir
Credential Stuffing Nasıl Tespit Edilir
Anormal login hacmi
Çoklu hesap denemeleri
Coğrafi tutarsızlıklar
En Etkili Önlemler
MFA (zorunlu)
Rate limiting + bot detection
Parola reuse tespiti
Katmanlı savunma
“Güçlü Parola Politikası” Yeter mi
Hayır
Güçlü ama
aynı parola risklidir
Güç = benzersizlik + koruma
WAF Bu Saldırıyı Engeller mi
Kısmen
Ama mantık saldırısıdır
Asıl çözüm uygulama katmanındadır
En Büyük Yanılgı
“Biz küçük bir hedefiz.”
Botlar seçmez
Otomasyon fırsat kovalar
Son Söz Anahtar Aynıysa Kapılar Açılır
Credential Stuffing,
insan alışkanlıklarının istismarıdır.
Güvenlik, sadece sistemi değil
alışkanlıkları da korumalıdır.
Aynı anahtarı her kapıya takan, kilidi suçlayamaz.
“Saldırgan parolayı kırmadı; sen ona taşıttın.”
— Ersan Karavelioğlu
