Son dönemde gerçekleştirilen kapsamlı bir siber güvenlik araştırması, internet kullanıcılarının büyük bir kısmını yakından ilgilendiren korkutucu tabloyu ortaya koydu. Günlük hayatta sıkça başvurduğumuz sigorta teklifleri, iş ilanları ve eğitim platformları gibi yüzlerce farklı dijital hizmetin, kullanıcı doğrulaması için kullandığı SMS yöntemlerinin büyük riskler barındırdığı saptandı. Milyonlarca kişinin kişisel verilerini doğrudan tehlikeye atan bu zafiyet; kimlik hırsızlığı, dolandırıcılık ve hesapların yetkisiz kişilerce ele geçirilmesine zemin hazırlıyor. Özellikle SMS ile iletilen giriş linklerinin basit yapısı, kötü niyetli kişilerin bu bağlantıları tahmin etmesini veya kopyalamasını oldukça kolaylaştırıyor.
ARAŞTIRMA VERİLERİ GÜVENLİK AÇIĞININ BOYUTLARINI KANITLIYOR
Uzmanlar tarafından yürütülen çalışmada, 33 milyondan fazla kısa mesajdan elde edilen 322 binin üzerinde benzersiz giriş bağlantısı mercek altına alındı. Elde edilen bulgular, 177 farklı hizmet sağlayıcıya ait sistem noktalarının kritik düzeyde güvenlik açığı barındırdığını gösteriyor. İncelenen linklerin önemli bir bölümü; kullanıcıların banka hesap detayları, kredi skorları, doğum tarihleri ve kimlik numaraları gibi son derece hassas verilere erişim imkanı tanıyor. En dikkat çekici noktalardan biri ise, bu saldırıların gerçekleştirilmesi için ileri düzey siber güvenlik bilgisine ihtiyaç duyulmaması. Ortalama bir web bilgisi ve standart donanımlarla, bu linkler üzerinden toplu veri hızı yapılabiliyor.
ŞİFRELENMEMİŞ MESAJLAR VE KALICI RİSKLER
SMS tabanlı sistemlerin bu kadar yaygın kullanılmasının temel nedeni, kullanıcı tarafında "kolay ve sürtünmesiz" bir deneyim sunması. Ancak bu konforun bedeli ağır olabiliyor. SMS mesajlarının şifreli bir yapıda olmaması, geçmişte milyonlarca mesajın açık veritabanlarında savunmasız kalmasına neden olmuştu. Bu durum, linklerin geçerlilik süresinin yıllarca sürmesiyle birleştiğinde, güvenlik açığı kalıcı bir tehdide dönüşüyor.
“KRİPTOGRAFİK VE GÜÇLÜ” OLMASI LAZIM
Güvenlik otoriteleri, "magic link" olarak adlandırılan sihirli bağlantıların ancak kriptografik yöntemlerle güçlendirildiğinde ve tek kullanımlık hale getirildiğinde güvenli olabileceğini belirtiyor. Bankalar ve büyük veri işleyen kurumlar için sadece SMS yöntemine güvenmenin yeterli olmadığı, çok faktörlü doğrulama sistemlerinin zorunlu hale gelmesi gerektiği ifade ediliyor.
