SMS Onaylama" Sistemi Milyonlarca Kullanıcıyı Risk Altına Sokuyor

Daha iyi bir deneyim için tam sürümü deneyebilirsiniz.

Bilim insanları, 33 milyondan fazla mesajdan elde ettikleri 322 binden fazla farklı bağlantıyı analiz etti ve bunların 701 farklı kaynaktan geldiğini tespit etti.

SMS Tabanlı Hizmetlerde Güvenlik Açıkları

Sigorta tekliflerinden iş ilanlarına, evcil hayvan bakımı ve özel ders platformlarına kadar birçok alanda kullanılan bu yöntemler, dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine zemin hazırlıyor.

Bir araştırma, 175'ten fazla hizmet için SMS gönderen 700'den fazla sistem noktasının (endpoint) kullanıcı güvenliğini tehdit eden uygulamalar barındırdığını ortaya koydu. En büyük sorunlardan biri, SMS ile paylaşılan bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri basit bir değişiklikle, saldırganların başkalarının hesaplarına erişmesine ve kişisel bilgilere ulaşmasına olanak tanıyor.

Araştırmacılar, bu tür saldırıların tüketici düzeyindeki donanım ve temel-orta seviye web güvenliği bilgisi ile geniş çapta gerçekleştirilebildiğini vurguluyor.

Ayrıca, birçok bağlantının yıllarca geçerliliğini koruması, yetkisiz erişim riskini artırıyor. Sorunu daha da derinleştiren bir diğer etken, SMS'lerin şifrelenmemiş olması. Geçmişte, milyonlarca kısa mesajın depolandığı ve içinde isimler, adresler, kullanıcı adları, parolalar ve finansal başvurular gibi hassas bilgilerin bulunduğu açık veritabanları tespit edilmiştir. Tüm bu olumsuzluklara rağmen, “kolay ve zahmetsiz” olduğu gerekçesiyle SMS tabanlı giriş yöntemleri yaygınlığını sürdürüyor.

Güvenlik Açıkları ve Kullanıcı Verileri

Yapılan araştırmada, 33 milyondan fazla mesajdan elde edilen 322 binden fazla benzersiz giriş bağlantısı incelendi. Bu bağlantıların 701 endpoint’ten geldiği ve 177 hizmetle ilişkili olduğu belirlendi. Bu durum, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verilerin açığa çıkmasına neden olabiliyor. Hizmetlerin 125'i, düşük güvenlikli token’lar yüzünden toplu bağlantı tahminine açık bulundu.

Uzmanlara göre, bu sorunların sorumluluğu büyük ölçüde hizmet sağlayıcılarına aittir. Kullanıcılara yalnızca “hassas bilgi vermeyin” demek yeterli değildir; zira listede milyonlarca kullanıcısı bulunan tanınmış platformlar da yer almaktadır.

Uzmanlar, "sihirli link" yönteminin tamamen güvensiz olmadığını, fakat bu bağlantıların kısa süreli ve ilk girişte geçersiz hale gelmesi gerektiğini vurguluyor.

Bazı gizlilik odaklı siteler, bu yöntemi e-posta ile kullanırken; bankalar ve büyük veri barındıran servisler için bu yöntem yeterli görülmemektedir. Güvenliği artırmak amacıyla ikinci bir güçlü doğrulama faktörünün ve deneme sayısının sınırlandırılmasının önemi büyük.

Tam Sürümü Görüntüle