"SMS doğrulama" sistemi milyonlarca kullanıcıyı tehlikeye atıyor
Yeni yayımlanan bir araştırma, SMS ile gönderilen giriş linkleri ve tek kullanımlık kodlarla kullanıcı doğrulaması yapan yüzlerce popüler hizmetin, milyonlarca kişinin kişisel verilerini ciddi risk altına soktuğunu ortaya koydu.
Sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcısı ve özel ders platformlarına kadar pek çok hizmette kullanılan bu yöntem; dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine kapı aralıyor.
Araştırmaya göre, 175’ten fazla hizmet adına SMS gönderen 700’ün üzerinde sistem noktası (endpoint) kullanıcı güvenliğini zayıflatan uygulamalar içeriyor. En büyük sorunlardan biri, SMS’le gönderilen bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri basitçe değiştirildiğinde, saldırganlar başkalarının hesaplarına erişebiliyor, kişisel bilgileri görüntüleyebiliyor ve bazı durumlarda kullanıcı gibi işlem yapabiliyor.
Araştırmacılar, bu saldırıların tüketici düzeyi donanım ve temel-orta seviye web güvenliği bilgisiyle büyük ölçekte gerçekleştirilebildiğini vurguluyor. Üstelik birçok link yıllarca geçerliliğini koruyor, bu da yetkisiz erişim riskini katlıyor.
“KOLAY VE SÜRTÜNMESİZ”
Sorunu ağırlaştıran bir diğer unsur, SMS’in şifreli olmaması. Geçmişte, milyonlarca kısa mesajın depolandığı ve içinde isimler, adresler, kullanıcı adları, parolalar, finans başvuruları gibi hassas verilerin bulunduğu açık veritabanları tespit edilmişti. Buna rağmen, “kolay ve sürtünmesiz” olduğu gerekçesiyle SMS tabanlı giriş yaygınlığını sürdürüyor.
YÜZ BİNLERCE GİRİŞ İNCELENDİ
Araştırmacılar, 33 milyondan fazla mesajdan elde ettikleri 322 binin üzerinde benzersiz giriş linkini inceledi. Bunların 701 endpoint’ten gelen ve 177 hizmeti kapsayan kısmının, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verileri açığa çıkarabildiği belirlendi. Hizmetlerin 125’i, düşük güvenlikli token’lar nedeniyle toplu link tahminine açık bulundu.
Uzmanlara göre sorumluluk büyük ölçüde hizmet sağlayıcılarda. Kullanıcılara “hassas bilgi vermeyin” demek yeterli değil; zira listede milyonlarca kullanıcısı olan, tanınmış platformlar da var.
“KRİPTOGRAFİK VE GÜÇLÜ” OLMASI LAZIM
Öte yandan, uzmanlar “sihirli link” (magic link) yönteminin başlı başına güvensiz olmadığını; ancak kısa süreli, ilk girişte geçersizleşen ve kriptografik olarak güçlü olması gerektiğini vurguluyor. Bazı gizlilik odaklı siteler e-posta ile bu yöntemi kullanıyor; ancak bankalar ve büyük veri barındıran servisler için yeterli görülmüyor. Güvenliği artırmak için ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlaması da şart.
