Milyonlarca kullanıcıyı tehlikeye atıyor: SMS doğrulamasında büyük güvenlik açığı

Sigorta başvurularından iş ilanlarına, evcil hayvan bakımı ve özel ders platformlarına kadar çok sayıda hizmette tercih edilen bu yöntem; dolandırıcılık, kimlik sahteciliği ve izinsiz hesap ele geçirme risklerini beraberinde getiriyor.

Araştırma bulgularına göre, 175’ten fazla hizmet adına SMS gönderen 700’ün üzerinde sistem noktası (endpoint) güvenliği zayıflatan uygulamalar barındırıyor. En kritik problemlerden biri, SMS ile iletilen bağlantıların öngörülebilir ya da kolayca kopyalanabilir yapıda olması. Güvenlik anahtarları küçük değişikliklerle manipüle edildiğinde, saldırganlar başkalarına ait hesaplara girebiliyor, kişisel verilere ulaşabiliyor ve hatta kullanıcı adına işlem yapabiliyor.

Uzmanlar, bu tür saldırıların tüketici seviyesinde donanım ve temel–orta düzey web güvenliği bilgisiyle geniş ölçekte gerçekleştirilebildiğine dikkat çekiyor. Ayrıca pek çok bağlantının yıllarca aktif kalması, yetkisiz erişim ihtimalini daha da artırıyor.

PRATİK AMA GÜVENSİZ

Riski büyüten bir başka etken ise SMS’in uçtan uca şifreli olmaması. Geçmişte, milyonlarca kısa mesajın depolandığı; içinde isimler, adresler, kullanıcı bilgileri, parolalar ve finansal başvurular gibi son derece hassas verilerin yer aldığı açık veritabanları ortaya çıkarılmıştı. Buna rağmen, “pratik ve kullanıcıyı yormayan” bir yöntem olarak görülmesi nedeniyle SMS tabanlı giriş sistemleri yaygın biçimde kullanılmaya devam ediyor.

YÜZ BİNLERCE OTURUM BAĞLANTISI MERCEK ALTINDA

Araştırmacılar, 33 milyondan fazla kısa mesaj üzerinden elde edilen 322 bini aşkın tekil giriş bağlantısını analiz etti. İnceleme sonucunda, 701 farklı sistem noktasından (endpoint) gönderilen ve 177 ayrı hizmeti kapsayan linklerin; T.C. kimlik numarası, doğum tarihi, banka hesap detayları ve kredi notu gibi son derece hassas bilgilerin açığa çıkmasına yol açabildiği ortaya kondu. Bu hizmetlerin 125’inin, zayıf güvenlik anahtarları nedeniyle toplu link tahminine açık olduğu belirlendi.

Uzmanlar, sorunun yükünün büyük ölçüde hizmet sağlayıcılara ait olduğuna dikkat çekiyor. Kullanıcılara yalnızca “kişisel bilgilerinizi paylaşmayın” uyarısı yapmak yeterli görülmüyor; çünkü listede milyonlarca kullanıcıya sahip, bilinirliği yüksek platformlar da yer alıyor.

“GÜÇLÜ VE KRİPTOGRAFİK OLMALI”

Öte yandan uzmanlar, “sihirli bağlantı” (magic link) yönteminin tek başına güvensiz sayılmaması gerektiğini vurguluyor. Ancak bu linklerin kısa süreli, ilk kullanımda geçersiz hale gelen ve kriptografik olarak sağlam şekilde üretilmesi şart. Bazı gizlilik odaklı platformlar bu yöntemi e-posta üzerinden uygulasa da, bankalar ve büyük ölçekli veri tutan servisler için tek başına yeterli kabul edilmiyor. Güvenlik seviyesini yükseltmek adına ikinci bir güçlü doğrulama adımı ve deneme sayısının sınırlandırılması da temel gereklilikler arasında gösteriliyor.