Yeni bir araştırma, sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcısı ve özel ders platformlarına kadar pek çok hizmette kullanılan SMS tabanlı giriş yöntemlerinin dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine yol açtığını ortaya koydu. Araştırmaya göre, 175'ten fazla hizmet adına SMS gönderen 700'ün üzerinde sistem noktası, kullanıcı güvenliğini zayıflatan uygulamalar içeriyor.
TAHMİN EDİLEBİLİR BAĞLANTILAR BÜYÜK RİSK
En büyük sorunlardan biri, SMS ile gönderilen bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri basitçe değiştirildiğinde, saldırganlar başkalarının hesaplarına erişebiliyor, kişisel bilgileri görüntüleyebiliyor ve bazı durumlarda kullanıcı gibi işlem yapabiliyor. Araştırmacılar, bu saldırıların temel-orta seviye web güvenliği bilgisiyle ve tüketici düzeyi donanımla büyük ölçekte gerçekleştirilebildiğini vurguluyor.
33 MİLYON MESAJ İNCELENDİ, 322 BİN LİNK RİSKLİ ÇIKTI
Araştırmacılar, 33 milyondan fazla mesajdan elde ettikleri 322 binin üzerinde benzersiz giriş linkini inceledi. Bunların 701 endpoint'ten gelen ve 177 hizmeti kapsayan kısmının, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verileri açığa çıkarabildiği belirlendi. Hizmetlerin 125'i, düşük güvenlikli token'lar nedeniyle toplu link tahminine açık bulundu. Üstelik birçok link yıllarca geçerliliğini koruyor, bu da yetkisiz erişim riskini artırıyor.
UZMANLAR: SORUMLULUK HİZMET SAĞLAYICILARDA
Uzmanlara göre sorumluluk büyük ölçüde hizmet sağlayıcılarda. Kullanıcılara 'hassas bilgi vermeyin' demek yeterli değil; zira listede milyonlarca kullanıcısı olan, tanınmış platformlar da var. 'Sihirli link' yönteminin başlı başına güvensiz olmadığını belirten uzmanlar, bu linklerin kısa süreli, ilk girişte geçersizleşen ve kriptografik olarak güçlü olması gerektiğini vurguluyor. Güvenliği artırmak için ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlaması da şart görülüyor.
