Sigorta teklifleri, iş ilanları, evcil hayvan bakımı ve özel ders platformları gibi pek çok hizmette kullanılan SMS tabanlı doğrulama yöntemleri, dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine neden olabiliyor. Yapılan araştırmalara göre, 175’ten fazla hizmet adına gönderilen SMS’lerin arkasında 700’ü aşkın sistem noktası bulunuyor ve bu sistemler, kullanıcı güvenliğini tehdit eden uygulamalar içeriyor. En büyük sorunlardan biri, SMS ile gönderilen bağlantıların tahmin edilebilir ve kolay çoğaltılabilir olması. Güvenlik belirteçleri basit bir şekilde değiştirildiğinde, kötü niyetli bireyler başkalarının hesaplarına erişim elde edebiliyor, kişisel bilgileri görebiliyor ve bazı durumlarda kullanıcı gibi işlem yapabiliyor. Araştırmacılar, bu tür saldırıların tüketici düzeyindeki donanım ve temel-orta seviye web güvenliği bilgisiyle geniş bir ölçekte gerçekleştirilebileceğinin altını çiziyor. Üstelik pek çok bağlantının yıllar boyunca geçerliliğini koruması, yetkisiz erişim riskini artırıyor.
KOLAY VE SÜRTÜNMESİZ
Durumu daha da karmaşık hale getiren faktörlerden biri, SMS ile gönderilen bildirimlerin şifrelenmemiş olması. Önceki dönemlerde, milyonlarca kısa mesajın saklandığı ve kişisel bilgilerle dolu açık veritabanlarının tespit edildiği bildirildi. Tüm bu tehditlere rağmen, “kolay ve sürtünmesiz” olduğu gerekçesiyle SMS tabanlı giriş yönteminin kullanımı yaygınlığını sürdürmekte.
YÜZ BİNLERCE GİRİŞ İNCELENDİ
Araştırmacılar, 33 milyondan fazla SMS’den elde ettikleri 322 binin üzerinde benzersiz giriş bağlantısını detaylı bir şekilde inceledi. Bu bağlantıların 701 sistem noktası tarafından sağlandığı ve 177 değişik hizmeti kapsadığı belirlendi; bu hizmetlerin bazıları kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik verilerin açığa çıkmasına yol açabiliyor. Hizmet sağlayıcıların 125’inin, düşük güvenlikli token’lar nedeni ile toplu bağlantı tahminine açık olduğu tespit edildi. Uzmanlar, bu konuda sorumluluğun büyük bir kısmının hizmet sağlayıcılarda olduğunu vurguluyor. Kullanıcılara “hassas bilgi vermeyin” uyarısı yapmak yeterli değil; çünkü listede pek çok tanınmış platform da yer almakta.
KRİPTOGRAFİK VE GÜÇLÜ
Uzmanlar, “sihirli link” yöntemi ile ilgili önemli bir nokta paylaşıyor. Bu yöntemin başlı başına güvensiz olmadığını, ancak kısa süreli, ilk kullanımda geçersizleşen ve kriptografik olarak güçlü olması gerektiğini ifade ediyorlar. Bazı gizlilik odaklı internet siteleri, bu yöntemi e-posta yolu ile uyguluyor; ancak bankalar ve büyük veri barındıran servisler için bu tür önlemler yeterli görülmüyor. Ek olarak, güvenlik seviyesini artırmak için ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlamasının uygulamaya konulması gerektiği öneriliyor.