Image by Volodymyr Kondriianenko, from Unsplash
Yeni Clickjacking Saldırısında Şifre Yöneticileri Veri Sızdırıyor
Okuma süresi: 2 dk.
Son Güncellenen Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Yeni bir çalışma, milyonlarca şifre yöneticisi kullanıcısının “DOM tabanlı Uzantı Clickjacking” adlı tehlikeli bir tarayıcı açığına karşı savunmasız olabileceği konusunda uyarıda bulunuyor.
Acele mi ediyorsunuz? İşte hızlıca öğrenmeniz gereken bilgiler:
- Saldırganlar, kullanıcıları bir sahte tıklama ile veri otomatik doldurma işlemine kandırabilir.
- Sızan bilgiler arasında kredi kartları, giriş bilgileri ve hatta iki faktörlü kodlar bulunuyor.
- Bazı sağlayıcılar hataları düzeltmediği için 32.7 milyon kullanıcı hala risk altında.
Araştırmaların arkasındaki araştırmacı açıkladı: “Clickjacking hala bir güvenlik tehdidi olmasına rağmen, günümüzde daha popüler olan tarayıcı eklentilerine (şifre yöneticileri, kripto cüzdanlar ve diğerleri) geçiş yapmamız gerekiyor.”
Saldırı, kullanıcıları sahte öğelere, çerez bannerları ve captcha pop-up’larına tıklamaya aldatarak çalışırken, görünmez bir script gizlice şifre yöneticisinin otomatik doldurma işlevini etkinleştirir. Araştırmacılar, saldırganların hassas bilgileri çalmak için sadece bir tıklamaya ihtiyaç duyduklarını belirtiyorlar.
“Bir saldırganın kontrol ettiği bir web sitesindeki herhangi bir yere tek tıklama, saldırganların kullanıcıların verilerini (kredi kartı detayları, kişisel veriler, TOTP dahil olmak üzere giriş bilgilerini) çalmasına izin verebilir,” rapor belirtiyor.
Araştırmacı, 1Password, Bitwarden, Dashlane, Keeper, LastPass ve iCloud Passwords dahil olmak üzere 11 popüler şifre yöneticisini test etti. Sonuçlar endişe vericiydi: “Hepsi ‘DOM tabanlı Eklenti Clickjacking’ konusunda savunmasızdı. On milyonlarca kullanıcı risk altında olabilir (~40 milyon aktif kurulum).”
Testler, dokuz şifre yöneticisinin altısının kredi kartı bilgilerini açığa çıkardığını, on yöneticiden sekizinin kişisel bilgileri sızdırdığını ortaya çıkardı. Ayrıca, on bir yöneticiden onu, saldırganların depolanmış giriş bilgilerini çalmasına izin verdi. Bazı durumlarda, iki faktörlü kimlik doğrulama kodları ve geçiş anahtarları bile tehlikeye girebilir.
Satıcılar Nisan 2025’te uyarıldı ancak araştırmacılar, Bitwarden, 1Password, iCloud Şifreleri, Enpass, LastPass ve LogMeOnce gibi bazılarının hala bu hataları düzeltmediğini belirtiyor. Bu, tahmini 32.7 milyon kullanıcının bu saldırıya karşı savunmasız bırakılması nedeniyle özellikle endişe verici.
Araştırmacılar şu sonucu çıkardı: “Tanımlanan teknik geneldir ve ben sadece 11 şifre yöneticisinde test ettim. Diğer DOM manipülasyonu yapan eklentiler muhtemelen savunmasızdır (şifre yöneticileri, kripto cüzdanları, notlar vb.).”
Önceki Hikâye
Son makaleler 
