Dijital dünyada "sürtünmesiz kullanıcı deneyimi" sağlamak amacıyla başvurulan SMS tabanlı giriş yöntemlerinin, aslında milyonlarca kullanıcının en hassas verilerini savunmasız bıraktığı ortaya çıktı. Yapılan kapsamlı araştırma; sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcılığından özel ders platformlarına kadar yüzlerce popüler hizmetin, düşük güvenlikli doğrulama protokolleri nedeniyle ciddi risk altında olduğunu kanıtladı.
TAHMİN EDİLEBİLİR BAĞLANTILAR VE ZAYIF BELİRTEÇLER
Araştırmacılar, 33 milyondan fazla mesajı ve 322 binden fazla benzersiz giriş linkini mercek altına aldı. 177 farklı hizmeti kapsayan 700'ün üzerinde sistem noktasında (endpoint) yapılan incelemelerde, güvenlik açıklarının boyutları sarsıcı düzeyde bulundu:
Tahmin Edilebilir Linkler: SMS ile gönderilen bağlantıların çoğunun basit bir mantıkla oluşturulduğu, güvenlik belirteçlerinin (token) kolayca tahmin edilebildiği tespit edildi. Saldırganlar, bu belirteçleri küçük değişikliklerle çoğaltarak başkalarının hesaplarına yetkisiz erişim sağlayabiliyor.
Kritik Veri Sızıntısı: İncelenen hizmetlerin büyük bir kısmında, bu zayıf halka üzerinden; kimlik numaraları, doğum tarihleri, banka hesap bilgileri ve kredi skorları gibi geri dönüşü olmayan hassas verilere ulaşılabildiği belirlendi.
Bitmeyen Geçerlilik Süresi: Birçok giriş linkinin aylar, hatta yıllar boyunca aktif kalması, siber saldırganlar için zamandan bağımsız bir erişim imkanı tanıyor.
"KOLAYLIK" GÜVENLİĞİN ÖNÜNE GEÇMEMELİ
Araştırma, SMS tabanlı sistemlerin en büyük sorununun şifreleme eksikliği olduğunu vurguluyor. Geçmişte isim, adres ve parola içeren milyonlarca kısa mesajın toplu halde sızdığı açık veri tabanları tespit edilmiş olsa da, şirketlerin "kullanıcı dostu" olma çabası bu güvensiz yöntemin yaygınlığını korumasına neden oluyor.
Siber güvenlik uzmanları, "sihirli link" (magic link) olarak adlandırılan yöntemin doğru kurgulanmadığında bir "güvenlik kabusu"na dönüşebileceği uyarısında bulunuyor. Araştırmacılara göre, 125 popüler hizmetin düşük güvenlikli belirteçler kullanması, saldırganların orta seviye bir teknik bilgi ve basit bir donanımlarla büyük ölçekli veri hırsızlığı yapabilmesine olanak tanıyor.
UZMANLARDAN KRİTİK TAVSİYELER: SORUMLULUK ŞİRKETLERDE
Güvenlik otoriteleri, sorumluluğun sadece kullanıcılarda olmadığını, asıl görevin hizmet sağlayıcılara düştüğünü hatırlatıyor. Uzmanlara göre, güvenli bir doğrulama sistemi şu kriterlere sahip olmalı:
Kriptografik Güç: Giriş bağlantıları tahmin edilemeyecek kadar karmaşık bir yapıda olmalı.
Tek Kullanımlık Yapı: Bağlantı, ilk girişte veya çok kısa bir süre içinde geçerliliğini yitirmeli.
Çok Faktörlü Doğrulama (MFA): Özellikle finansal ve kişisel verilerin yoğun olduğu platformlarda, SMS linki tek başına yeterli görülmemeli; ikinci bir güçlü doğrulama adımı zorunlu tutulmalı.
Deneme Sınırı: Belirli bir sayıdaki hatalı giriş denemesinden sonra sistem erişimi durdurmalı.
