Techlosure 
Yeni yayımlanan kapsamlı bir araştırma, SMS ile gönderilen giriş bağlantıları ve tek kullanımlık kodların aslında güvenlikten çok risk yarattığını ortaya koydu. Sigorta tekliflerinden iş ilanlarına, özel ders ve evcil hayvan bakıcılığı platformlarına kadar yüzlerce popüler hizmetin kullandığı bu yöntem, milyonlarca kişinin kişisel verilerini dolandırıcılara karşı savunmasız bırakıyor.
SMS’LER GÜVENLİK AÇIKLARI BARINDIRIYOR
- 700’den fazla sistem noktası incelendi ve 175’ten fazla hizmet adına gönderilen SMS’lerin güvenlik açıkları barındırdığı belirlendi.
- SMS ile iletilen bağlantıların tahmin edilebilir olması, saldırganların başkalarının hesaplarına kolayca erişmesine yol açıyor.
- Bazı linklerin yıllarca geçerliliğini koruması, yetkisiz erişim ihtimalini daha da artırıyor.
KOLAY AMA GÜVENSİZ
SMS’in şifrelenmemesi, geçmişte milyonlarca mesajın açık veritabanlarında bulunmasına neden olmuştu. İsimler, adresler, kullanıcı adları, parolalar ve finansal bilgiler bu yolla ifşa edildi. Buna rağmen, “pratik” olduğu gerekçesiyle SMS tabanlı doğrulama hâlâ yaygın şekilde kullanılıyor.
ARAŞTIRMANIN ÇARPICI BULGULARI
- 33 milyondan fazla mesaj analiz edildi, 322 binden fazla benzersiz giriş linki incelendi.
- 701 endpoint üzerinden gelen 177 hizmetin, kimlik numarası, doğum tarihi, banka bilgileri ve kredi skorları gibi kritik verileri açığa çıkarabildiği görüldü.
- 125 hizmetin düşük güvenlikli token’lar nedeniyle toplu link tahminine açık olduğu tespit edildi.
UZMANLARDAN ÇÖZÜM ÖNERİLERİ
Uzmanlar, “sihirli link” yönteminin tamamen güvensiz olmadığını; ancak kriptografik olarak güçlü, kısa süreli ve tek kullanımlık olması gerektiğini vurguluyor. Ayrıca bankalar ve büyük veri barındıran servisler için ikinci bir doğrulama faktörü ve deneme sayısı sınırlaması şart görülüyor.
About the Author
