Yeni bir araştırma, SMS ile gönderilen giriş bağlantıları ve tek kullanımlık kodlarla kullanıcı doğrulaması yapan yüzlerce popüler hizmetin, milyonlarca kişinin kişisel verilerini ciddi risk altına soktuğunu ortaya koydu. Sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcısı ve özel ders platformlarına kadar pek çok alanda kullanılan bu yöntem; dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine kapı aralıyor.
TAHMİN EDİLEBİLİR BAĞLANTILAR BÜYÜK TEHDİT
Araştırmaya göre, 175'ten fazla hizmet adına SMS gönderen 700'ün üzerinde sistem noktası, kullanıcı güvenliğini zayıflatan uygulamalar içeriyor. En büyük sorunlardan biri, SMS'le gönderilen bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri basitçe değiştirildiğinde, saldırganlar başkalarının hesaplarına erişebiliyor, kişisel bilgileri görüntüleyebiliyor ve bazı durumlarda kullanıcı gibi işlem yapabiliyor. Araştırmacılar, bu saldırıların tüketici düzeyi donanım ve temel-orta seviye web güvenliği bilgisiyle büyük ölçekte gerçekleştirilebildiğini vurguluyor. Üstelik birçok bağlantı yıllarca geçerliliğini koruyor, bu da yetkisiz erişim riskini artırıyor.
KRİTİK VERİLER AÇIĞA ÇIKIYOR
Araştırmacılar, 33 milyondan fazla mesajdan elde ettikleri 322 binin üzerinde benzersiz giriş bağlantısını inceledi. Bunların 701 sistem noktasından gelen ve 177 hizmeti kapsayan kısmının, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verileri açığa çıkarabildiği belirlendi. Hizmetlerin 125'i, düşük güvenlikli belirteçler nedeniyle toplu bağlantı tahminine açık bulundu. Uzmanlara göre sorumluluk büyük ölçüde hizmet sağlayıcılarda; kullanıcılara 'hassas bilgi vermeyin' demek yeterli değil, çünkü listede milyonlarca kullanıcısı olan, tanınmış platformlar da yer alıyor.
GÜVENLİK İÇİN KRİPTOGRAFİK ÇÖZÜMLER ŞART
Uzmanlar, 'sihirli bağlantı' yönteminin başlı başına güvensiz olmadığını, ancak kısa süreli, ilk girişte geçersizleşen ve kriptografik olarak güçlü olması gerektiğini vurguluyor. Bazı gizlilik odaklı siteler e-posta ile bu yöntemi kullanıyor; ancak bankalar ve büyük veri barındıran servisler için yeterli görülmüyor. Güvenliği artırmak için ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlaması da şart olarak belirtiliyor.
