İncelenen 322 binden fazla giriş linkinin önemli bir kısmının düşük güvenlikli olduğu, saldırganların sadece temel web bilgisiyle banka hesap bilgilerinden kredi skorlarına kadar pek çok kritik veriye erişebildiği vurgulandı. Uzmanlar, "kolay ve sürtünmesiz" olduğu için tercih edilen bu yöntemin, kriptografik olarak güçlendirilmediği sürece büyük bir siber güvenlik açığı oluşturmaya devam edeceği konusunda hizmet sağlayıcıları uyardı.
SMS TABANLI GÜVENLİKTE "SİHİRLİ LİNK" TEHLİKESİ
Günümüzde pek çok popüler uygulama, kullanıcı kolaylığı sağlamak adına şifre yerine SMS ile "sihirli link" (magic link) göndererek giriş imkanı tanıyor. Ancak son yayımlanan kapsamlı bir araştırma, bu yöntemin aslında büyük bir güvenlik açığına dönüştüğünü kanıtladı. Araştırmacılar, 175’ten fazla hizmet adına SMS gönderen 700’ün üzerindeki sistem noktasını (endpoint) incelediğinde, bu bağlantıların tahmin edilebilir bir yapıda olduğunu saptadı.
BASİT YÖNTEMLERLE HESAPLARA ERİŞİLEBİLİYOR
Siber saldırganlar, gelişmiş donanımlara ihtiyaç duymadan, sadece linklerdeki güvenlik belirteçlerini (token) değiştirerek başkalarının hesaplarına sızabiliyor. Araştırmanın can alıcı noktaları şunlar:
Geçerlilik Süresi: Birçok giriş linki, kullanıldıktan sonra bile yıllarca aktif kalarak yetkisiz erişime kapı aralıyor.
Veri Sızıntısı: İncelenen linkler üzerinden kimlik numaraları, doğum tarihleri ve kredi skorları gibi "açığa çıkmaması gereken" verilere ulaşılabildiği görüldü.
Toplu Saldırı Riski: 125 farklı hizmetin, düşük güvenlikli token yapısı nedeniyle toplu link tahmin saldırılarına karşı tamamen savunmasız olduğu belirlendi.
UZMANLARDAN ÇÖZÜM ÖNERİLERİ: "KRİPTOGRAFİK GÜÇ"
Güvenlik uzmanları, SMS'in şifreli bir yapıya sahip olmamasının riskleri katladığını belirtiyor. Sadece kullanıcıyı "hassas bilgi vermeyin" diyerek uyarmanın yeterli olmadığını, asıl sorumluluğun platform sağlayıcılarda olduğunu vurguluyorlar. Güvenli bir doğrulama sistemi için şu şartların yerine getirilmesi gerekiyor:
Tek Kullanımlık Yapı: Linkler ilk girişte mutlaka geçersizleşmeli.
Kriptografik Güç: Bağlantılar tahmin edilemeyecek kadar karmaşık kodlar içermeli.
İkinci Faktör (2FA): Özellikle bankacılık ve finans verisi barındıran servislerde mutlaka ek bir doğrulama faktörü kullanılmalı.