Sigorta başvurularından iş ilanlarına, özel ders ve evcil hayvan bakıcılığı hizmetlerine kadar birçok alanda kullanılan SMS tabanlı doğrulama yöntemi; dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine açık bir zemin oluşturuyor.
Araştırmada, 175’ten fazla hizmet adına SMS gönderen 700’ü aşkın sistem noktasında (endpoint) ciddi güvenlik zafiyetleri tespit edildi. En dikkat çeken sorunlardan biri, SMS ile iletilen bağlantıların tahmin edilebilir veya kolayca kopyalanabilir olması. Güvenlik belirteçleri üzerinde basit değişiklikler yapıldığında, saldırganların başkalarına ait hesaplara erişebildiği, kişisel verileri görüntüleyebildiği ve bazı durumlarda kullanıcı adına işlem gerçekleştirebildiği belirtildi.
Araştırmacılar, bu tür saldırıların temel ve orta düzey web güvenliği bilgisi ile sıradan donanımlar kullanılarak büyük ölçekli şekilde yapılabildiğine dikkat çekti. Ayrıca birçok bağlantının yıllarca geçerliliğini koruması, yetkisiz erişim riskini daha da artırıyor.
ŞİFRESİZ SMS EK RİSK OLUŞTURUYOR
Güvenlik riskini büyüten bir diğer unsurun ise SMS altyapısının şifreli olmaması olduğu vurgulandı. Daha önce milyonlarca kısa mesajın depolandığı ve içinde isim, adres, kullanıcı adı, parola ve finansal başvurular gibi hassas bilgilerin yer aldığı açık veritabanlarının tespit edildiği hatırlatıldı. Buna rağmen, “kolay ve sürtünmesiz” olması gerekçesiyle SMS tabanlı giriş yönteminin yaygın şekilde kullanılmaya devam ettiği ifade edildi.
MİLYONLARCA MESAJ ANALİZ EDİLDİ
Araştırma kapsamında 33 milyondan fazla mesajdan elde edilen 322 bini aşkın benzersiz giriş bağlantısı incelendi. Bunlardan 701 sistem noktasından gelen ve 177 farklı hizmeti kapsayan linklerin; kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik verileri açığa çıkarabildiği belirlendi. Hizmetlerin 125’inin ise düşük güvenlikli token’lar nedeniyle toplu bağlantı tahminine açık olduğu tespit edildi.
Uzmanlara göre sorumluluk büyük ölçüde hizmet sağlayıcılara ait. Kullanıcılara yalnızca “hassas bilgilerinizi paylaşmayın” uyarısı yapmak yeterli görülmezken, milyonlarca kullanıcısı bulunan tanınmış platformların da risk listesinde yer aldığına dikkat çekiliyor.
“GÜÇLÜ VE KRİPTOGRAFİK OLMALI”
Öte yandan uzmanlar, “sihirli bağlantı” (magic link) yönteminin tek başına güvensiz olmadığını ancak mutlaka kısa süreli, ilk kullanımda geçersizleşen ve kriptografik olarak güçlü şekilde tasarlanması gerektiğini vurguluyor. Gizlilik odaklı bazı sitelerde e-posta üzerinden bu yöntemin kullanıldığı belirtilirken, bankalar ve büyük veri barındıran platformlar için yeterli olmadığı ifade ediliyor. Güvenliğin artırılması adına ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlandırmasının da zorunlu olduğu kaydediliyor.
