Kimlik doğrulama bilgisi doldurma (credential stuffing), kişisel bir parola alışkanlığının nasıl hızlı bir şekilde bir işletme güvenliği sorununa dönüşebileceğinin en açık örneklerinden biridir. Saldırı basittir: Suçlular, bir ele geçirilme durumunda ifşa olan kullanıcı adlarını ve parolaları alır, ardından bazı kişilerin aynı oturum açma bilgilerini başka bir yerde de yeniden kullanmış olmasını umarak bunları diğer birçok hizmette otomatik olarak test eder.
İşletmeler için bu durum, şirketinizin hiçbir ilgisi olmayan bir ele geçirilme olayının yine de sizin sorununuz hâline gelebileceği anlamına gelir. Bir çalışan iş hesabı için kişisel bir parolayı yeniden kullandıysa bir tüketici veri sızıntısı; e-postaya, SaaS araçlarına, finans platformlarına, yönetici panellerine veya müşteri sistemlerine yetkisiz erişime dönüşebilir.
Kimlik doğrulama bilgisi doldurmanın ne olduğunu, büyük ölçekte neden işe yaradığını, küçük ve orta ölçekli işletmelerin neden buna özellikle maruz kaldığını ve bu riski nasıl azaltacağınızı açıklayacağız.
Credential stuffing işletmeleri nasıl etkiler?
Kimlik doğrulama bilgileri doldurmanın büyük ölçekte neden işe yaradığı
KOBİ’lerin kimlik doğrulama bilgisi doldurma saldırılarına neden daha fazla maruz kaldığı
Kimlik doğrulama bilgileri doldurma saldırısının bir işletmeye neler yapabileceği
Kimlik doğrulama bilgileri doldurma saldırıları nasıl önlenir
Kimlik doğrulama bilgileri doldurulduğundan şüpheleniyorsanız ne yapmalısınız
Kimlik doğrulama bilgileri doldurma işletmeleri nasıl etkiler
Daha önce kimlik doğrulama bilgileri doldurma saldırısının ne olduğunu ayrıntılı olarak açıklamıştık, bu nedenle şimdi kimlik doğrulama bilgileri doldurmanın iş hesapları için ne anlama geldiğine odaklanacağız: Yeniden kullanılan tek bir parolanın; iş e-postasını, SaaS araçlarını, yönetici panellerini ve müşteri sistemlerini açığa çıkarabileceği durumlar.
Bu tür bir saldırı etkilidir çünkü pek çok kişi parolaları yeniden kullanmaktadır. Bir kişi kişisel bir alışveriş hesabı, bir sosyal medya profili ve bir iş aracı için aynı parolayı kullanırsa tek bir hizmetteki ele geçirilme durumu, her üçü için de parolanın açığa çıkmasına neden olabilir.
Kimlik doğrulama bilgileri doldurma, kaba kuvvet (brute force) saldırısından farklıdır. Saldırganlar parolaları tahmin etmek için kaba kuvvet saldırılarını kullanırlar. Kimlik doğrulama bilgileri doldurma yönteminde ise önceki sızıntılardan elde edilmiş gerçek kimlik doğrulama bilgilerine zaten sahiptirler; daha sonra aynı parolanın başka bir yerde çalışıp çalışmadığını test edebilirler.
Bu durum, kimlik doğrulama bilgileri doldurma saldırılarını son derece verimli kılar. Sızdırılan tek bir kimlik doğrulama bilgisi; e-posta hizmeti sağlayıcılarına, bulut hizmetlerine, müşteri ilişkileri yönetimi platformlarına, bordro araçlarına, geliştirici hesaplarına, dosya depolama alanlarına ve yönetici portallarına karşı test edilebilir. Saldırganlar büyük ölçekte test yaptığında düşük bir başarı oranı bile değerli olabilir.
Kimlik doğrulama bilgileri doldurmanın büyük ölçekte başarılı olmasının nedeni
Kimlik doğrulama bilgileri doldurma etkilidir çünkü bu işlem otomatikleştirilebilir. Suçlular, önceki ele geçirilme durumlarından veya karanlık web pazarlarından sızdırılmış geniş kimlik doğrulama bilgilerisi listeleri elde edebilir. Ardından otomatik araçlar, bu kimlik doğrulama bilgilerini yüzlerce hizmete karşı test eder. İşlem hızlı bir şekilde çalışabilir, denemeleri tekrarlayabilir, IP adreslerini değiştirebilir ve temel algılamalardan kaçınmak için normal oturum açma düzenlerini taklit edebilir.
Bir işletme içinde, tek bir oturum açma girişiminin yarattığı tehdidi tespit etmek son derece zordur. Bir kimlik doğrulama bilgisi saldırısının ilk belirtisi; bilinmeyen bir konumdan başarılı bir oturum açma, parola sıfırlama talebi, yeni bir e-posta kutusu kuralı, fatura değişikliği, dosya indirme veya bir SaaS aracındaki olağan dışı etkinlikler olabilir.
Saldırı aynı zamanda modern çalışma şeklinin dağıtık olmasından da yararlanır. Çalışanlar, genellikle tek bir kimlik sisteminin dışında kalan birçok hizmet kullanır. Bazı hesaplar, BT denetimi olmaksızın departmanlar tarafından oluşturulur. Bazı araçlar tekli oturum açmayı (SSO) veya iki adımlı doğrulamayı (2FA) desteklemez. Bazı satıcı portalları zayıf bir izleme sistemine sahiptir. Kimlik doğrulama bilgileri doldurma tam olarak bu boşlukları hedefler.
KOBİ’lerin kimlik doğrulama bilgileri doldurmaya karşı neden daha savunmasız olduğu
Kimlik doğrulama bilgileri doldurma her boyuttaki kuruluşu etkileyebilir ancak KOBİ’ler genellikle buna çok daha fazla maruz kalır.
Daha az kaynak, daha fazla sorumluluk
Daha küçük ekipler hızlı hareket etme ve görevleri paylaşma eğilimindedir. Çalışanlar, resmi bir onay süreci olmadan yeni yazılımlar için hesaplar oluşturabilir. Paylaşılan satıcı oturum açma bilgileri sohbet veya e-posta yoluyla yayılabilir. Bir parola ilkesini denetleyen ve uygulayan özel bir güvenlik ekibi olmadığından, parolaların yeniden kullanılması gözden kaçabilir. Yıllar önce oluşturulmuş bir parola, hâlâ önemli bir iş sistemini koruyor olabilir.
Kişisel/iş dijital sınırlarının eksikliği
En büyük risk, kişisel kimlik doğrulama bilgileri ile iş kimlik doğrulama bilgilerinin birbirine karışmasıdır. Bir çalışan, ele geçirilmiş bir tüketici hizmeti ile bir iş hesabı için aynı parolayı kullanırsa saldırganların öncelikle işletmeyi ele geçirmesi gerekmez. Bunun yerine tüketici tarafındaki ele geçirilme durumunu bir giriş noktası olarak kullanabilirler.
Bu nedenle, kimlik doğrulama bilgileri doldurmayı önleme çalışmalarının parolaların yeniden kullanılmasını engellemeye odaklanması gerekir. Eğitim yardımcı olur ancak hafızaya dayalı parola alışkanlıkları ölçeklenemez. Çalışanlar, destek olmadan her bir kişisel hesap ve iş hesabı için benzersiz, güçlü parolaları güvenli bir şekilde oluşturamaz ve hatırlayamaz.
KOBİ’ler siber suçluların hedefindedir
Proton’un Veri Sızıntısı Gözlemevi, sızdırılan verilerin; adlar, e-posta adresleri, parolalar, finansal bilgiler, kişi bilgileri ve diğer hassas bilgiler gibi hesap güvenliğinden ödün verilmesini destekleyebilecek bilgileri ne sıklıkla içerdiğini görüntülemektedir.
Günümüzde hiçbir işletme siber suçlular tarafından hedef alınamayacak kadar küçük değildir. Örneğin, Şubat 2026’da Fransız e-öğrenme platformu GDQuest, e-posta adresleri ve kullanıcı adları da dâhil olmak üzere 66.000’den fazla kayıt içeren şüpheli bir veri ele geçirilmesi durumundan etkilenmiştir. Bu kadar küçük bir işletme olmasına rağmen GDQuest, siber suçlular için bariz bir kazanç kapısı sunmuş ve açıklanmayan bir saldırı vektörü tarafından hedef alınmıştır.
Küçük bir ele geçirilme durumu büyük bir soruna dönüşür
Küçük işletmeler için alınacak ders nettir: Sızdırılan veriler, ilk ortaya çıktığı şirketle sınırlı kalmaz. Bir çalışan, ele geçirilmiş bir kişisel veya üçüncü taraf hesaba ait parolayı yeniden kullanırsa saldırganlar aynı kimlik doğrulama bilgisini iş e-postasına, SaaS platformlarına, finans araçlarına veya yönetici sistemlerine karşı test edebilir. Dışarıdaki bir ele geçirilme durumu, içeride bir erişim sorununa bu şekilde dönüşebilir.
Kimlik doğrulama bilgileri doldurma saldırısının bir işletmeye neler yapabileceği
Bir kimlik doğrulama bilgileri doldurma saldırısı başlangıçta fark edilmeyebilir: Tek bir hesabın yeni bir aygıttan oturum açması, bir e-posta kuralının değişmesi veya yalnızca tek bir belgenin indirilmesi gibi. Ancak saldırganlar geçerli kimlik doğrulama bilgilerini ele geçirdiğinde risk hızla büyür.
SaaS araçlarına yetkisiz erişim
İş operasyonları artık proje yönetimi, müşteri iletişimi, İK ve satış için SaaS araçlarına dayanmaktadır. Saldırganlar bu hizmetlerden birine erişim sağlamak için yeniden kullanılan kimlik doğrulama bilgilerini kullanırlarsa müşteri verilerini, şirket içi belgeleri, faturaları, müşteri listelerini veya operasyonel iş akışlarını bulabilirler.
Düşük riskli görünen araçlar bile yararlı bilgileri açığa çıkarabilir. Bir proje yönetimi hesabı; şirketin hangi sistemleri kullandığını, ödemeleri kimin onayladığını, hangi müşterilerin aktif olduğunu ve hassas dosyaların nerede depolandığını gösterebilir.
E-posta güvenliğinden ödün verilmesi ve hesabın ele geçirilmesi
E-posta, bir işletmeye yönelik kimlik doğrulama bilgileri doldurma saldırısındaki en değerli hedeflerden biridir. Saldırganlar e-postaya erişim sağladıktan sonra diğer hizmetlerin parolalarını sıfırlayabilir, faturaları veya sözleşmeleri arayabilir, çalışanların kimliğine bürünebilir, yönlendirme kuralları ayarlayabilir veya yazışmaları sessizce izleyebilir.
E-posta erişiminin kimlik avı girişimlerini de desteklediğini unutmamak önemlidir. Meşru bir gelen kutusuna erişimi olan bir saldırgan; ileti güvenilir bir hesaptan geldiği için iş arkadaşlarına, müşterilere veya satıcılara inandırıcı iletiler gönderebilir.
Yönetici paneli erişimi ve yetki yükseltme
Kimlik doğrulama bilgileri doldurma bir yönetici hesabına ulaşırsa etkisi ciddi olabilir. Saldırganlar yeni hesaplar oluşturabilir, güvenlik ayarlarını değiştirebilir, harici ortak çalışanları davet edebilir, denetimleri kullanımdan dışı bırakıp kapatabilir, verileri dışa aktarabilir veya yetkileri yükseltebilir.
Parolaların yeniden kullanılması tam da bu noktada özellikle tehlikeli hâle gelir. Yönetici hesapları ve yetkili hesaplar, diğer hizmetlerdeki parolaları asla yeniden kullanmamalıdır; çünkü bu hesapların güvenliğinden ödün verilmesi diğer pek çok hesabı ve sistemi etkileyebilir.
Sistemler arasında yanal hareket
Kimlik doğrulama bilgileri doldurma yanal harekete de olanak tanır. Saldırganlar bir hesaba erişim sağladıktan sonra elde ettikleri bilgileri diğer sistemleri test etmek, daha yüksek değerli hesapları belirlemek ve iş ortamında ilerlemek için kullanabilirler.
Örneğin, güvenliğinden ödün verilmiş bir SaaS hesabı; şirket içi adlandırma kurallarını, paylaşılan belgeleri, satıcı portallarını veya yönetici sistemlerine giden bağlantıları açığa çıkarabilir. Saldırganlar daha sonra aynı parolayı deneyebilir, depolanmış kimlik doğrulama bilgilerini arayabilir veya diğer hizmetlere ulaşmak için parola sıfırlama akışlarını kullanabilirler.
Fidye yazılımı ve şantaj riski
Kimlik doğrulama bilgileri doldurma, otomatik olarak fidye yazılımı saldırılarına yol açmaz. Kendi başına daha çok hesabın ele geçirilmesi, dolandırıcılık veya veri hırsızlığı için kullanılır. Ancak güvenliğinden ödün verilmiş kimlik doğrulama bilgileri, daha ciddi bir saldırının ilk adımı da olabilir.
Saldırganlar bulut depolama alanına, yönetici konsollarına, uzaktan erişim hizmetlerine veya uç nokta yönetim araçlarına erişim sağlarsa olayı şantaj, operasyonel kesinti veya fidye yazılımı dağıtımına dönüştürebilirler.
Kimlik doğrulama bilgileri doldurma saldırıları nasıl önlenir
Kimlik doğrulama bilgileri doldurmayı önleme, bu tür saldırıların dayandığı zayıflığı, yani parolaların yeniden kullanılmasını ortadan kaldırarak başlar. Buradan yola çıkarak işletmeler, yetkisiz erişimin tamamlanmasını zorlaştıran ve tespit edilmesini kolaylaştıran katmanlar ekleyebilir.
Her hesap için benzersiz parolalar seçin
Benzersiz parolalar, kimlik doğrulama bilgileri doldurmaya karşı en güçlü savunmadır. Her hesabın farklı bir parolası varsa bir hizmetten sızdırılan kimlik doğrulama bilgisi başka bir hizmete erişmek için yeniden kullanılamaz.
Bu kulağa basit gelse de manuel olarak sürdürülmesi zordur. Çalışanlardan her iş hesabı için benzersiz ve güçlü parolalar üretmeleri ve bunları hatırlamaları beklenmemelidir. Bir kurumsal parola yöneticisi, her bir hizmet için benzersiz parolalar oluşturup bunları depolayarak bu süreci pratik hâle getirir.
Proton Pass for Business; ekiplerin güçlü ve benzersiz parolalar oluşturmasına, bunları uçtan uca şifrelenmiş kasalarda depolamasına, otomatik doldurmayı kullanmasına ve erişimi güvenli bir şekilde paylaşmasına yardımcı olur. Bu durum, kimlik doğrulama bilgileri doldurma saldırılarının dayandığı saldırı yüzeyini doğrudan azaltır.
Zayıf veya yeniden kullanılan parolaları bulmak için parola sağlığı kontrolünü kullanın
İşletmelerin mevcut parola riskleri konusunda da görünürlüğe ihtiyacı vardır. Parolaların yeniden kullanılması, özellikle eski hesaplarda, paylaşılan araçlarda ve resmi BT süreçlerinin dışında oluşturulan hesaplarda zaman içinde birikir.
Parola sağlığı kontrolü; zayıf veya yeniden kullanılan parolaların belirlenmesine yardımcı olur, böylece ekipler bunları saldırganlar yararlanmadan önce değiştirebilir. Proton Pass for Business, bir kuruluş içindeki zayıf ve yeniden kullanılan parolaları belirlemenize yardımcı olarak en çok risk yaratan kimlik doğrulama bilgilerine öncelik vermenizi ve bunları korumanızı sağlar.
İkinci bir savunma hattı olarak iki adımlı doğrulamayı etkinleştirin
İki adımlı doğrulama, bir parolanın güvenliği tehlikeye girdiğinde ikinci bir katman ekler. Saldırganlar doğru kullanıcı adına ve parolaya sahip olsalar bile, hesaba erişmek için yine de başka bir faktöre ihtiyaç duyarlar. Bu durum, kuruluşların zayıf, çalınmış veya yeniden kullanılmış kimlik doğrulama bilgilerinin doğrudan yetkisiz erişime yol açma olasılığını azaltmasına yardımcı olurken, yüksek riskli hesapların genel güvenlik durumunu da güçlendirir.
Bu tür bir savunmaya; e-posta, parola yöneticileri, yönetici hesapları, finans araçları, kimlik sağlayıcılar, bulut depolama alanları ve diğer hizmetlere erişimi sıfırlayabilen veya kontrol edebilen tüm sistemler için öncelik verilmelidir.
İki adımlı doğrulama, benzersiz parolaların yerini alan bir unsur değil, onlara ek bir korumadır. Yeniden kullanılan bir parola ifşa olursa, saldırganlar tekrarlanan oturum açma girişimleri, hesap kilitlemeleri, çalışanları iki adımlı doğrulama kodlarını paylaşmaları için kandırma girişimleri veya iki adımlı doğrulamanın zorunlu kılınmadığı sistemlere yönelik saldırılar yoluyla yine de aksamalara neden olabilir. Yine de bir kimlik doğrulayıcı kullanmak, çalınan tek bir parolanın doğrudan bir güvenlik ihlaline yol açma riskini azaltır.
Sızdırılan kimlik doğrulama bilgileri için karanlık ağ izlemeyi kullanın
Karanlık ağ izleme, işletmelerin çalışan kimlik doğrulama bilgilerinin veri ihlali verilerinde yer alıp almadığını tespit etmesine yardımcı olur. Pratikte bu işlem; ihlal veri kümelerini ve kimlik bilgileri sızıntılarıyla ilişkili forumlar, pazaryerleri ve çalınan verilerin dolaşımda olabileceği diğer yerler gibi karanlık ağ kaynaklarını tarayarak çalışır. Asıl ihlali engellemez ancak ekiplere, ifşa olan kimlik doğrulama bilgileri kötüye kullanılmadan önce müdahale etme şansı verebilir.
Proton Pass, kimlik doğrulama bilgileri sızıntılarını tespit edebilen ve bilgileriniz bir veri ihlalinde göründüğünde sizi uyarabilen Pass Monitor özelliğini içerir. Proton’un Data Breach Observatory 2026 raporu da sızdırılan ticari verilerin internette nasıl ortaya çıktığını ve kuruluşların kimlik doğrulama bilgilerinin ifşa edilmesine karşı neden daha iyi bir görünürlüğe ihtiyaç duyduğunu vurgulamaktadır.
İzleme sırasında ifşa olmuş kimlik doğrulama bilgileri tespit edildiğinde hızlı aksiyon alınmalıdır: Etkilenen parolayı değiştirin, bu parolanın başka bir yerde kullanılıp kullanılmadığını kontrol edin, şüpheli oturumları geçersiz kılın, hesap etkinliğini gözden geçirin ve mümkün olan yerlerde iki adımlı doğrulamayı etkinleştirin.
Proton Hesabınızı Proton Sentinel ile Koruyun
Proton Sentinel, Proton hesapları için gelişmiş hesap koruması sağlar. Otomatik algılama sistemleri ve uzman analistler kullanarak şüpheli hesap ele geçirme girişimlerini tanımlar ve engeller. Bir saldırgan Proton Hesabı kullanıcı adınızı ve parolanızı başarıyla çalmış olsa bile verilerinize erişmesini önlemeye yardımcı olabilir.
Proton Sentinel’in yalnızca Proton Hesabınızı korumak için kullanılabileceğini unutmayın. Çalışanlarınızın kullandığı SaaS platformları, finans araçları, yönetici panelleri veya tedarikçi portalları gibi diğer iş hizmetleri için daha kapsamlı savunma stratejileriniz; benzersiz parolalara, iki adımlı doğrulamaya, izlemeye ve net erişim ilkelerine dayanmaya devam etmelidir.
Kimlik bilgisi doldurmayı önlemeyi günlük erişim yönetimine dahil edin
En etkili önleme stratejisi, çalışanlardan daha fazla şey hatırlamalarını istemek değildir. Onlara parolanın yeniden kullanılmasını gereksiz kılan bir sistem sunmaktır.
Proton Pass for Business; güçlü, benzersiz parolalar oluşturarak, bunları şifrelenmiş kasalarda saklayarak, parola sağlığı kontrolü ile zayıf veya yeniden kullanılan parolaları belirleyerek ve ekipler arasında güvenli paylaşımı destekleyerek ekiplerin bunu yapmasına yardımcı olur. Bu sayede kimlik bilgisi doldurmayı önleme, sadece bir tavsiye olmaktan çıkıp günlük bir erişim uygulamasına dönüşür.
E-posta takma adlarını kullanın
E-posta takma adları, yeni hesaplar veya hizmetler için kaydolurken kişisel veya profesyonel e-posta adreslerinizi gizler. E-posta adresinizin siber suçlular tarafından internette takip edilmesini önlemek için mükemmel bir yöntemdir.
Proton Pass for Business, SimpleLogin destekli e-posta takma adları aracılığıyla kimlik bilgisi doldurma riskini azaltmaya da yardımcı olur. Çalışanlar kaydoldukları her hizmet için benzersiz bir e-posta takma adı kullanabilir; bu da bir hizmetteki veri ihlalinin, başka bir yerdeki kimlik bilgisi doldurma girişimleri için birincil iş e-postalarını otomatik olarak ifşa etmeyeceği anlamına gelir.
Kimlik bilgisi doldurma saldırısından şüpheleniyorsanız yapılması gerekenler
İşe, etkilenen hesapları tespit ederek başlayın. Olağan dışı oturum açma konumlarını, tekrarlanan başarısız oturum açma girişimlerini, yeni aygıtları, beklenmeyen parola sıfırlama işlemlerini, e-posta kutusu yönlendirme kurallarını, yeni yönetici kullanıcıları, olağan dışı dosya indirmelerini ve ödeme veya güvenlik ayarlarındaki değişiklikleri arayın.
Ardından hemen harekete geçin:
- Etkilenen hesapların parolalarını sıfırlayın.
- Bu parolaların başka yerlerde yeniden kullanılıp kullanılmadığını kontrol edin.
- Aktif oturumları geçersiz kılın.
- MFA’yı etkinleştirin veya zorunlu kılın.
- Hesap etkinliğini ve denetim günlüklerini inceleyin.
- Yetkisiz kullanıcıları veya entegrasyonları kaldırın.
- E-posta kurallarını ve yönlendirme ayarlarını kontrol edin.
- Gerekiyorsa etkilenen müşterileri, ortakları veya düzenleyici kurumları bilgilendirin.
Saldırı kontrol altına alındıktan sonra, tekrarlanma olasılığını azaltın. Etkilenen hesapları bir kurumsal parola yöneticisine taşıyın, yeniden kullanılan parolaları benzersiz kimlik doğrulama bilgileriyle değiştirin, paylaşılan hesapları gözden geçirin ve kalan zayıf veya yeniden kullanılan parolaları bulmak için parola sağlığı kontrolünü kullanın.
İfşa olan veriler kişisel bilgileri içeriyorsa olay, veri koruma yükümlülüklerini de beraberinde getirebilir. Proton’un işletmeler için sunduğu veri ihlali koruması kılavuzu, ekiplerin bir sonraki olaydan önce ihlal riskini nasıl azaltacaklarını ve kontrolleri nasıl güçlendireceklerini anlamalarına yardımcı olabilir.






