Milyonlar Risk Altında, SMS Doğrulaması Sandığınız Kadar Güvenli Değil

SMS üzerinden gönderilen bağlantılar ve doğrulama kodları, milyonlarca kişinin kişisel verisini risk altına atıyor.
Milyonlar Risk Altında, SMS Doğrulaması Sandığınız Kadar Güvenli Değil

Yeni bir araştırma, tahmin edilmesi kolay linkler ve şifrelenmemiş mesajlar nedeniyle birçok büyük hizmetin kullanıcı hesaplarının kolayca ele geçirilebildiğini ortaya koydu.

Araştırmacılar, sigortacılıktan bankacılığa, özel ders platformlarından iş bulma sitelerine kadar 175'ten fazla hizmete ait, SMS gönderen 700'ün üzerinde sistem noktasını inceledi. Sonuçlar, bu sistemlerin çoğunun güvenlik açıkları barındırdığını ve "kolay ve sürtünmesiz" olması için tercih edilen SMS tabanlı giriş yöntemlerinin aslında büyük bir güvenlik zaafı yarattığını gösterdi. En kritik sorun, gönderilen bağlantıların basit matematiksel tahminlerle veya küçük değişikliklerle başka kullanıcılara ait hesaplara erişim sağlayabilmesi.

Güvenlik Tokanları Nasıl Açığa Çıkıyor?

İncelenen 322 binden fazla benzersiz giriş linki arasında, 125 hizmetin kullandığı güvenlik belirteçlerinin (token) son derece zayıf olduğu tespit edildi. Bu "tahmin edilebilir token" sorunu, siber saldırganların sadece temel-orta düzeyde teknik bilgi ve sıradan bir bilgisayarla, binlerce farklı link üreterek rastgele kullanıcı hesaplarına erişmesine olanak tanıyor. Bir kez tahmin edilen link, bazen yıllarca geçerliliğini koruyabiliyor ve bu da riski katbekat artırıyor.

Bu yöntemle ele geçirilen hesaplarda, kullanıcının kimlik numarası, doğum tarihi, banka hesap detayları ve hatta kredi skoru gibi son derece hassas kişisel verileri ortaya çıkabiliyor. Araştırmacılar, sorumluluğun büyük ölçüde hizmet sağlayıcılarda olduğunu vurguluyor. SMS'in doğası gereği şifrelenmemiş olması ve geçmişte milyonlarca mesajın açık veritabanlarında sızdırıldığının bilinmesi, bu yöntemin neden güvenilir olmadığını bir kez daha kanıtlıyor.

Kullanıcılar Kendini Nasıl Koruyabilir?

Uzmanlar, "sihirli link" yönteminin doğru uygulandığında güvensiz olmadığını, ancak linklerin kısa ömürlü, kriptografik olarak güçlü ve tek kullanımlık olması gerektiğini belirtiyor. Bankalar gibi hassas veri işleyen kurumlar için bu yöntemin tek başına yeterli görülmediği, mutlaka ikinci bir doğrulama faktörü eklenmesi gerektiği vurgulanıyor.

Kullanıcıların alabileceği temel önlemler şunlardır:

Kaynak Doğrulama: Tanımadığınız bir numaradan gelen, özellikle acil veya tehditkar bir dil içeren SMS'lerdeki linklere asla tıklamayın.

Resmi Kanallar: İşlemlerinizi daima bankanızın, sigorta şirketinizin resmi mobil uygulaması veya "https://" ile başlayan güvenli web sitesi üzerinden yapın. Gelen bir linkte bu güvenlik protokolü ("https") eksikse, kesinlikle tıklamayın.

Bilgi Paylaşımı: Hiçbir resmi kurum SMS yoluyla şifrenizi, kimlik numaranızı veya kredi kartı bilgilerinizi sizden istemez. Bu taleplere kesinlikle yanıt vermeyin.

İki Faktörlü Doğrulama (2FA): Mümkün olduğunda, SMS ile gelen doğrulama kodları yerine, Google Authenticator gibi uygulama tabanlı 2FA yöntemlerini tercih edin. Bu, güvenliğinizi çok daha üst seviyelere taşıyacaktır.