SMS Tabanlı Hizmetlerde Güvenlik Açıkları
Sigorta tekliflerinden iş ilanlarına, evcil hayvan bakımı ve özel ders platformlarına kadar birçok alanda kullanılan bu yöntemler, dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine zemin hazırlıyor.
Bir araştırma, 175'ten fazla hizmet için SMS gönderen 700'den fazla sistem noktasının (endpoint) kullanıcı güvenliğini tehdit eden uygulamalar barındırdığını ortaya koydu. En büyük sorunlardan biri, SMS ile paylaşılan bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri basit bir değişiklikle, saldırganların başkalarının hesaplarına erişmesine ve kişisel bilgilere ulaşmasına olanak tanıyor.
Ayrıca, birçok bağlantının yıllarca geçerliliğini koruması, yetkisiz erişim riskini artırıyor. Sorunu daha da derinleştiren bir diğer etken, SMS'lerin şifrelenmemiş olması. Geçmişte, milyonlarca kısa mesajın depolandığı ve içinde isimler, adresler, kullanıcı adları, parolalar ve finansal başvurular gibi hassas bilgilerin bulunduğu açık veritabanları tespit edilmiştir. Tüm bu olumsuzluklara rağmen, “kolay ve zahmetsiz” olduğu gerekçesiyle SMS tabanlı giriş yöntemleri yaygınlığını sürdürüyor.
Güvenlik Açıkları ve Kullanıcı Verileri
Yapılan araştırmada, 33 milyondan fazla mesajdan elde edilen 322 binden fazla benzersiz giriş bağlantısı incelendi. Bu bağlantıların 701 endpoint’ten geldiği ve 177 hizmetle ilişkili olduğu belirlendi. Bu durum, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verilerin açığa çıkmasına neden olabiliyor. Hizmetlerin 125'i, düşük güvenlikli token’lar yüzünden toplu bağlantı tahminine açık bulundu.
Uzmanlara göre, bu sorunların sorumluluğu büyük ölçüde hizmet sağlayıcılarına aittir. Kullanıcılara yalnızca “hassas bilgi vermeyin” demek yeterli değildir; zira listede milyonlarca kullanıcısı bulunan tanınmış platformlar da yer almaktadır.
Bazı gizlilik odaklı siteler, bu yöntemi e-posta ile kullanırken; bankalar ve büyük veri barındıran servisler için bu yöntem yeterli görülmemektedir. Güvenliği artırmak amacıyla ikinci bir güçlü doğrulama faktörünün ve deneme sayısının sınırlandırılmasının önemi büyük.
