Yeni yayımlanan bir araştırma, SMS doğrulama ile gönderilen giriş linkleri ve tek kullanımlık kodlar kullanan popüler hizmetlerin milyonlarca kullanıcının kişisel verilerini riske attığını ortaya koydu.
Sigorta tekliflerinden iş ilanlarına kadar birçok hizmette kullanılan bu yöntem dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine zemin hazırlıyor. Araştırma, 175’ten fazla hizmet adına SMS gönderen 700’ün üzerinde sistem noktası (endpoint) bulunduğunu belirtiyor.
En büyük sorunlardan biri SMS’le gönderilen bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri değiştirildiğinde saldırganlar başkalarının hesaplarına erişebiliyor, kişisel bilgileri görüntüleyebiliyor ve bazı durumlarda kullanıcı gibi işlem yapabiliyor.
Araştırmacılar 33 milyondan fazla mesajdan elde edilen 322 binin üzerinde benzersiz giriş linkini inceledi. Bunların 701 endpoint’ten gelen ve 177 hizmeti kapsayan kısmının kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi verileri açığa çıkarabildiği tespit edildi.
Hizmetlerin 125’i, düşük güvenlikli token’lar nedeniyle toplu link tahminine açıktı. Ayrıca birçok linkin yıllarca geçerliliğini koruduğu, bu durumun yetkisiz erişim riskini artırdığı vurgulandı.
Sorunu ağırlaştıran bir diğer unsur SMS’in şifreli olmaması. Geçmişte milyonlarca kısa mesajın depolandığı ve içinde isimler, adresler, kullanıcı adları, parolalar ve finans başvuruları gibi hassas verilerin bulunduğu açık veritabanları tespit edilmişti.
Uzmanlar ‘sihirli link’ yönteminin tamamen güvensiz olmadığını, ancak tokenların kısa süreli, ilk kullanımdan sonra geçersizleşen ve kriptografik olarak güçlü olması gerektiğini söylüyor. Bankalar ve büyük veri barındıran servisler için ikinci güçlü doğrulama faktörü ve deneme sayısı sınırlaması da gerekli görülüyor.
Araştırmacılar sorumluluğun büyük ölçüde hizmet sağlayıcılarda olduğunu belirtiyor; kullanıcılara yalnızca ‘hassas bilgi vermeyin’ demenin yeterli olmadığına dikkat çekiliyor. Konu, milyonlarca kullanıcısı olan tanınmış platformları da kapsıyor.
Bir Cevap Yaz
![Telegram-e1521786932288[1]](https://www.donanimforum.com/wp-content/webp-express/webp-images/uploads/2020/05/Telegram-e15217869322881.jpg.webp)
