Hesap girişlerinde SMS doğrulamasını benimseyen şirketler için SIM swap saldırılarında sorumluluk tartışması büyüyor
(keydiscussions.com)- SIM swap saldırısı, operatörün bir telefon numarasını saldırganın cihazına taşımasını sağladıktan sonra SMS giriş/parola sıfırlama kodlarını ele geçirme yöntemidir; şirketlerin bu zayıf yolu kimlik doğrulama akışına dahil etme tercihi temel tartışma konusudur
- SMS düz metin olarak iletilir ve güvenlik için tasarlanmış bir protokol değildir; parola sıfırlama, hesap kurtarma, onboarding ve giriş için kullanıldığında kullanıcının dijital güvenliği de telefon numarasının taşınmasıyla birlikte el değiştirir
- Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, Bank of America gibi birçok servis SMS’i giriş, kurtarma ve 2FA için kullanıyor ya da geçmişte kullandı; Azure, AWS, Twilio, Google gibi bulut sağlayıcıları da SMS tek kullanımlık kod hizmetleri sunuyor
- Daha iyi alternatifler e-posta tabanlı sıfırlama ve Authy, Google Authenticator gibi kimlik doğrulama uygulamalarıdır; SMS 2FA daha güçlü seçeneklerle birlikte sınırlı biçimde kullanılsa bile hesap kurtarma için fallback olmamalıdır
- 2024’ten sonra AT&T, T-Mobile, Verizon gibi büyük ABD operatörlerinin Salt Typhoon saldırısıyla uzun süreli ihlale uğraması da tabloya eklenince, SMS’in giriş akışlarında gerçek güvenlik sağladığı varsayımı daha da sarsılıyor
SMS tabanlı kimlik doğrulamanın SIM swap saldırılarını büyüten yapısı
- SIM swap saldırısı, saldırganın operatörden kurbanın telefon numarasını kendi telefonuna port etmesini istemesiyle gerçekleşir
- ABD’de rekabeti teşvik etmeye yönelik numara taşınabilirliği kuralları nedeniyle operatörlerin numara taşımayı kolayca işleyebilmesi gerekir
- Numara taşındığında saldırgan, şirketlerin gönderdiği SMS giriş bilgilerini veya parola sıfırlama kodlarını alarak hesaba erişebilir
- Operatörlerin numara korumasının zayıf olduğu eleştirisi yerindedir; ancak birçok şirket de bu zayıf bağlantı halkasının üzerine görev açısından kritik kimlik doğrulama akışları kurmuştur
- Sorunun merkezinde şu bakış açısı vardır: “Birisi T-Mobile, AT&T, Verizon vb. şirketleri numaramı taşımaya ikna etti diye dijital güvenliğim de taşınmamalı.”
SMS bir kimlik doğrulama aracı olarak tasarlanmadı
- SMS şifrelenmemiş düz metin mesajdır; bir kartpostal gibi arada okunabilir veya ele geçirilebilir
- Güvenlik protokolü olmayan SMS’i parola sıfırlama, hesap kurtarma, onboarding ve giriş için kullanmak yapısal olarak uygunsuzdur
- SMS tabanlı 2FA, daha güçlü 2FA seçenekleriyle birlikte sunulduğunda zayıf güvenlik senaryoları içinde yalnızca “en az kötü” durum olarak ele alınır
- Asıl eleştiri hedefi SMS tabanlı parola sıfırlama, kullanıcı onboarding’i ve hesap kurtarmadır
- Daha iyi seçenekler e-posta tabanlı parola sıfırlama ve Authy, Google Authenticator gibi kimlik doğrulama uygulamalarıdır
- SMS hesap kurtarma fallback’i olarak kalırsa daha güçlü 2FA uygulamalarını da zayıflatabilir
Şirketlerin SMS’i kimlik doğrulama akışlarına dahil etme biçimi
- Apple, 2018’de iPhone’da SMS passcode otomatik doldurma özelliğini duyurarak SMS’in parola sıfırlama ve hesap girişinde kullanıldığı akışı güçlendirdi
- Apple hesabı sıfırlamada SMS’in kullanılabildiği senaryolar vardır
- Apple geliştirici hesabının iki aşamalı doğrulamasında da SMS veya telefon kullanılır
- Apple’ın yerel 2FA uygulamasının SMS fallback’i nedeniyle zayıfladığı değerlendiriliyor
- Google, 2019’da Android için SMS autofill özelliğiyle tek kullanımlık kod otomatik doldurma sağladı
- Bulut sağlayıcıları ve mesajlaşma altyapısı şirketleri SMS kod endüstrisini oluşturdu
- Finans ve ödeme hizmetlerinde de SMS sıfırlama, SMS giriş, SMS 2FA ve SMS hesap kurtarma yaygın biçimde kullanılıyor
- Örnek olarak Wells Fargo, Cash App, Robinhood, Schwab, PayPal, Bank of America anılıyor
- Bu SMS seçenekleri “kimlik doğrulama” aracı olarak sunulsa da SIM swap saldırganları için de avantajlı bir yapı oluşturuyor
- Yemek siparişi servisleri, sosyal ağlar ve veri depolama hizmetleri gibi alanlarda da SMS çoğu zaman hesap sıfırlamanın varsayılan yolu olarak kullanılıyor
- Dropbox gibi devre dışı bırakma yolu olsa bile kullanıcının her servis için ayrı ayrı opt-out yapması gerekir
- Birçok servis opt-out sunmaz
Güvenlik tasarımı sorumluluğu kolaylıktan önce gelir
- Kullanıcılar SMS sıfırlamanın zayıflığını anlamayabilir; bunu değerlendirmek kullanıcının rolü olmamalıdır
- SMS, e-posta sıfırlama veya Authy gibi 2FA uygulamalarından daha pratik olduğu için kullanıcılar tarafından tercih edilebilir
- iPhone’daki SMS otomatik doldurma, iOS’in iyi bir özelliği olarak övülebilir; ancak kolaylık güvenliği garanti etmez
- Bir güvenlik sisteminin güvenli olup olmadığını değerlendirme ve tasarlama sorumluluğu teknoloji şirketlerine aittir
- Müşteri güvenliği ve emniyetini önceliklendirdiğini söyleyip SMS tabanlı kimlik doğrulamayı sürdürmek, müşterileri açıkta bırakmak anlamına gelir
Protokol iyileştirmeleri ve düzenleme tek başına yeterli değil
- SHAKEN/STIR gibi telefon protokollerini güçlendirme çabaları tam benimseme ve sıkı uygulama düzeyine ulaşmadı; SMS parola sıfırlama kodları göndermeye devam etmek için güçlü bir gerekçe oluşturamaz
- Daha güçlü telefon protokolleri devreye alınsa bile SIM swap saldırısını bizzat engellemez
- AB’nin Sim Verify girişimi, SMS’e bağımlı şirketlerin SIM’in yakın zamanda port edilip edilmediğini kontrol edebilmesini sağlayan bir yol olarak anılıyor
- ABD’de böyle bir değişikliğin yakın zamanda uygulanıp uygulanmayacağı belirsiz; SHAKEN/STIR’in yayılım deneyimi değişimin uzun sürebileceğini gösteriyor
- Hacker News yorumlarında, NIST’in Ekim 2023 itibarıyla SMS veya telefon aramalarının kullanıcı tanımlamada kullanılması konusunda güçlü yönergeler yayımladığı da belirtiliyor
2024’ten sonra operatör riski daha da kötüleşti
- Güncellemede, AT&T, T-Mobile, Verizon gibi büyük ABD operatörlerinin Salt Typhoon saldırısıyla aylarca ihlal yaşadığı özetleniyor
- Bu operatörler, sayısız giriş akışında, hesap yeniden etkinleştirmede ve parola sıfırlamada kullanılan şifrelenmemiş SMS’leri taşıyor
- ABD operatör ihlalleri ve SIM swap saldırılarının sürekliliği birlikte düşünüldüğünde, SMS’in giriş akışlarının herhangi bir bölümünde gerçek güvenlik sağladığı fikrinden vazgeçilmelidir
- Google, Gmail’de SMS’in zayıflıklarını sınırlı biçimde kabul edip ondan uzaklaşmaya başlamış bir örnek olarak anılıyor
- Chase, Block/Square, Apple vb. şirketler ise hâlâ giriş süreçlerinin bir bölümünde SMS’e bağımlı örnekler olarak kalıyor
Hacker News yorumlarında kullanıcıların yaşadığı zarar örnekleri
- SMS alınamayan bir bölgede seyahat ediliyorsa kullanıcı hesabından kilitlenebilir
- Bank of America gibi, herhangi bir 2FA’yı etkinleştirebilmek için önce SMS 2FA’yı açmayı gerektiren banka örnekleri sorun olarak anılıyor
- Numara değiştirip Viber’da kilitlenmek veya Citibank’in hesap telefon numarası değişikliği için SMS doğrulaması istemesi gibi örnekler de var
- Operatör SMS dolaşım ücreti alırsa kullanıcılar zayıf bir güvenlik aracına para ödemek zorunda kalır
- Ön ödemeli bakiye yüklenmediği için SIM bloke edilirse SMS alınamaz; SMS’i zorunlu kılan servislere erişimde de sorun yaşanır
- AB bankacılık sektöründe çalışmış bir yorumcu, SMS’in ABD’ye göre daha pahalı olduğu için yaygın yerleşmediğini ve SMS 2FA’nın hem güvenlik ihlaline hem de kullanıcı kilitlenmesine açık olduğunu değerlendiriyor
Telefon numarası tabanlı kimlik doğrulamadan uzaklaşmak neden gerekli
- Deepfake çağında sağlam kimlik doğrulama hizmetleri daha önemli hale geliyor
- Yapay zeka tabanlı sahte kimlik hizmetleri yaygınlaşıyor; finans şirketleri ve ISP’lerin kullandığı ses iziyle tanıma da deepfake sesler ve ısrarcı saldırganlar karşısında faydalı olmayabilir
- SMS gibi şifrelenmemiş ve SIM swap’a açık kimlik doğrulama araçlarından uzaklaşmak gerekir
- Fidye yazılımı da IT’nin karşılaştığı büyük sorunlardan biridir; SIM swap saldırıları ise kurumsal ağ ihlallerinde önemli bir vektör olarak anılıyor
- SMS ile girişi azaltmanın fidye yazılımı sorununun bir kısmını hafifletebileceği bağlantısı kuruluyor
1 yorum
Hacker News görüşleri
SMS felaketi başlamadan önce TOTP kodları 1Password tarafından hangi cihazda ve hangi konumda olursam olayım otomatik dolduruluyordu
Şimdi ise sürekli telefonu çıkarmam gerekiyor ve o numaraya ihtiyacım olmasa bile seyahat etmek için uluslararası dolaşım ödemem ya da SMS yönlendirme ayarlamam gerekiyor. Ne harika güvenlik ama
Eğer mantık, telefon numarasının gerektiğinde gerçek kimliğe geri bağlanabilmesi ise, herkesin benim numaramı dünyanın dört bir yanındaki şirketlere saçması yerine doğrulama uygulamasını SMS'e bağlasınlar
Ama salak şirketler telefon numarası isteyip Google Voice kullanımını engelliyor
Devlet tarafından verilmiş kimlik gösterme, parmak izi doğrulama, hatta gerçekten hızlı DNA testi gibi seçenekleri maliyetine göre seçebilsek ve ölüm ya da ehliyetsizlik durumunda hesabın lehtarını da belirleyebilsek
Nihai kimlik doğrulamayı e-posta, Google hesabı ve SMS'e dayandıran mevcut yöntem saçma. Üçü de ya güvenli değil, ya keyfi engelleme riski taşıyor, ya kurtarması zor, ya da gerçek kimliği doğrulamadığı için spam'e açık
Yaygın karşı argüman, WhatsApp'ın numara 90 gün kullanılmazsa parola sıfırlama gibi şeyleri engellediği, dolayısıyla sorun olmadığı yönünde
Sonra da bankaya telefon numarası değişikliği için yazılı başvuru yaparsın, o yüzden sorun yok deniyor
Bir hesabın önemli işlemlerinde SMS kullanmak korkunç
Lütfen hesapları telefon numarasına bağlamayın
Düzenleme: Tek seferlik bildirimlerden vs. bahsetmediğimi netleştirmek için ilk satırı değiştirdim
Authenticator ve Passkeys kullanmanın daha iyi olduğuna katılıyorum ama SMS'in avantajlarını da inkâr etmemek lazım
Çiftlerin birbirlerinin telefonunu kullandığını ve parolalarını bildiğini sık görüyorum, ama birine o kadar güvenebilir miyim bilmiyorum. Öz anneme bile parolamı vermezdim, annem de bana güvensizlik gerektirecek bir şey yapmış değil
En kötüsü bunun bir tercih olmaması. Hizmetler durduk yere SMS'i iki aşamalı doğrulama olarak kullanmaya başlıyor
Telefon numaranı değiştirince ne yapacağını da bilmiyorsun. Eski numarayı kontrol edemediğin için hesaba giremiyorsan onu yeni numarayla nasıl değiştirirsin? Güncellemen gerektiğini düşünmediğin bir hesap bir gün aniden iki aşamalı doğrulama istemeye başlarsa ne olacak? Genel olarak gerçekten kötü bir sistem
STOPile çıkılabiliyorsa sorun yokİki haftalık kamp sırasında memleketimde şiddetli bir fırtına geçti ve elektrik 5 gün kesildi. SMS uyarıları olmasaydı bunu bilmeyecektim ve döner dönmez buzdolabı ile dondurucuyu hemen boşaltabildim
Telefon ele geçirilse bile e-posta duruyor
Son kullanıcı açısından gerçek kullanım kolaylığı da var. Bu sorunlar insanların %1'inde yaşansa bile milyarlarca kişi için sorun olmayabilir. Ucuz ve pratik. Telefon mesajı alıp otomatik dolduruyor
E-postayı kontrol etmek için uygulama değiştirmek gerekmiyor. E-posta ele geçirilmediği sürece hesap her zaman kurtarılabilir. E-postanı kaybedersen kötü ama zaten böyle şeyler olur; bu yüzden parolayı düzenli değiştirmek ve çok faktörlü doğrulama ayarlamak gerekir
Güvenlik asla %100 olamaz. Bu boş bir uğraş. Mümkün olduğunca çok kişi için çalışacak kadar kullanışlı ve yeterince güvenli olmalı
HN dışındaki insanların neredeyse hiçbiri bunu umursamıyor ya da anlamıyor. Anlamaları da gerekmiyor. Uygulamayı kullanıp işlerini halledip yollarına devam ediyorlar
Arka plandaki işi bırakın meraklı tipler halletsin
Arjantin'de Movistar kullanıcıları için Payoneer SMS ile ilgili büyük bir sorun yaşandı. Bunu HN'ye göndermeye çalışmıştım ama görünmeden kayboldu.
İspanyolca yazılmış, içgörülü bir tweet'in [1] kabaca çevirisi şöyle:
“Payoneer gizemi çözüldü.
#PayoneerHacked
Dikkatli olun. Facebook, Twitter ve diğerleri de SMS maliyetini azaltmak için aynı gateway'i paylaşıyor
Şafak vakti kurbanlara ulaşan SMS'lerin ekran görüntülerini bırakıyorum. Kurbanlar bunları herhangi bir phishing girişimiyle paylaşmış olamazdı ve hesapları boşaltmak için bu SMS'ler gerekliydi
Basında ne okursanız okuyun… ortada çok meyve ve bol salata var ama sos az. Orijinal metin burada
İş birliği yapan herkese teşekkürler”
[1] https://twitter.com/julitolopez/status/1748440685743587811
“[Müşteriler] [SMS sıfırlamayı] e-posta sıfırlamadan daha kullanışlı buluyor” deniyor ama ben şahsen Google hesabımda telefon doğrulamasıyla oturum açmam gerektiğinde her seferinde sinir oluyorum
Masadan kalkıp telefonu bulmam gerekiyor ve bazen telefon başka bir odada oluyor. Kodu içeren aramayı ya da mesajı alabilmem için bunu yapmak zorundayım
Buna kıyasla TOTP çok daha kullanışlı. Kodları KeePassXC'de sakladığım için masadan kalkmam gerekmiyor
Google, Authenticator'ı hiç kullanmamış olsanız bile bu seçeneği “Google Authenticator uygulamasından doğrulama kodu al” diye adlandırıyor
https://www.google.com/account/about/passkeys/
https://blog.google/technology/safety-security/passkeys-defa...
Passkey destekleyen siteler: https://passkeys.directory/
Telefon numaranızı kaybettiğinizde de gerçekten çok kötü
Yıllardır ana Google hesabıma giriş yapamıyorum. Kullanıcı adım, şifrem, kurtarma e-posta adresim var ve tüm e-postalar bana yönlendiriliyor, ama hesaba bağlı telefon numarası artık bende olmadığı için açıkça davetsiz biri muamelesi görüyorum
Tek çözüm, eski “ev” konumu gibi görünen bir IP aralığına geri dönmek ve işe yaramasını ummak. Hesaba erişime veya kurtarmaya izin vermemenin iyi bir şey olduğunu düşünen Google içindeki kişiye söyleyecek çok sözüm var
Benim ülkemdeki kimlik kartında açık anahtarlı kriptografi kullanan bir çip var. Google hesabını kalıcı olarak devlet kimliğine bağlamanıza izin verseler bu sorun çözülürdü, en azından AB'de yaşayanlar için
Böylece tek bir YubiKey'i kaybetmekten korkmadan kullanabilir ve biri onu çalsa bile hesabınızı geri alabilirdiniz
Ama Google'ın ne bir help desk'i ne de bug bildirme yolu var. Google utanmalı
Şirketlerin Google Voice numaramın “doğrulama için kullanılamayacağını” ya da daha açık biçimde “geçerli bir telefon/cep telefonu numarası olmadığını” iddia etmesinden özellikle nefret ediyorum
Bazı şirketler başlangıçta bu numarayla kayıt olmaya izin verip, daha sonra bir noktada politikayı değiştirdi. Bunu genelde ancak hesaptan kilitlenince öğreniyorsunuz
Neyse ki bunların çoğu, bundan sonra sadece kaçınmam gereken mağaza uygulamaları ya da ödeme hizmetleriydi. Belli ki benim müşteriliğime değer vermiyorlar. Ama bir gün bankamın da aynısını yapıp beni hesabımdan kilitlemesinden endişe ediyorum
Herkesin bir cep telefonu var, çoğu insan numarasını neredeyse hiç değiştirmiyor ve birçok kişi telefon numarasını sosyal güvenlik numarasından daha kolay veriyor
Onlar hesap güvenliğini ya da bunun kullanıcının kontrol ettiği geçerli bir numara olup olmadığını umursamıyor. Sadece kullanıcıyı benzersiz biçimde tanımlamak ve zaten kullanıcı verileri için en yüksek parayı ödeyen reklam teknolojisi şirketlerinin veritabanlarında bulunan bir numarayı istiyorlar
Google Voice kullanmamanız gerektiğine dair bu yazının başka bir yorumunda biraz yazmıştım: https://news.ycombinator.com/item?id=39270503
Benim deneyimim herkes için geçerli olmayabilir ama “ücretsiz” Google Voice’a bel bağlamanın hâlâ riskli olduğunu düşünüyorum
Karşı argüman olarak, SMS ile giriş ve hesap kurtarma iyi bir kullanıcı deneyimi sunuyor ve operatörlerin genel olarak çıtayı yükseltmesi gerekiyor
Masaüstü bilgisayar kullanıyorken, FIDO ya da başka gerçek bir iki faktörlü kimlik doğrulamayı desteklemek istemedikleri için her girişte beni telefona yönlendirmemeliler
Dizüstü bilgisayarımda parmak izi okuyucu var, telefonumda Face ID var, USB’de de YubiKey var. Bunları kullansınlar
E-posta kesinlikle daha iyi. Asıl neden, e-posta sağlayıcısının ya kullanıcının kontrolünde olması ya da bizim gibi meraklıların özel alan adında olduğu gibi, ya da Google gibi büyük ve kişisel olmayan bir aktör olması. Telefon numarası sağlayıcısı gibi saldırganın kolayca değiştirebileceği bir hedef değil
Bir kimlik sağlayıcısında çalışıyorum ve özellikle kullanıcı deneyimi açısından bu özelliğin desteklenmesini isteyen epey kişi var
Yukarıda söylediğim gibi telefon numarası sağlayıcılarının da sorumluluğu olmalı. Telefon numaralarını çevrimdışı ve çevrimiçi dünyanın küresel tanımlayıcısı olarak dayatan eğilim sürecekse, operatörler telefon numarası değişikliği için daha fazla koşul istemeli
“Yıllardır sektördeki insanlar hep şöyle dedi: ‘SMS tabanlı kimlik doğrulama sunmak, genel olarak müşteri güvenliği için daha iyidir. Kusurları vardır ama çok daha güvenli olan e-posta doğrulaması gibi başka yöntemlerden daha kullanışlıdır.’ Benim buna cevabım şu: ‘Müşteriden güvenliği alma hakkını size kim verdi?’”
Bir de:
“SIM swap saldırılarıyla ilgili öfkenin önemli bir kısmının operatörlere yönelmesi anlaşılır. Gerçekten de operatörler müşteri telefon numarası güvenliğini berbat yönetiyor ve bu kusurdan sorumlu olabilirler. Ama asıl nokta şu: operatör güvenliği her zaman kötüydü, hatta yasal düzenlemeler nedeniyle bazı yönlerden daha da kötüleşti; buna rağmen başka şirketler kritik görev sistemlerini bu zayıf halkanın üzerine kurmayı seçti.”
Bir de:
“SMS güvenlik açısından kötüdür ama yeni müşteri kaydı, örneğin Uber onboarding’i ve parola sıfırlamayı neredeyse sürtünmesiz hâle getirir. Şirketler de rakipleri bu tekniği benimsediği için ayak uydurmaları gerektiğini hissetti.”
Bu son bölüm ne yazık ki bir WordPress yazısı güncellemesi sırasında üzerine yazıldı, ben de yeniden ekledim
SMS’in korkunç bir çok faktörlü kimlik doğrulama unsuru olduğuna katılıyorum
Ama insanlardan bir uygulama yüklemelerini istemek çok büyük bir yük olduğu için SMS yayıldı. Üstelik insanlar kurtarma kodlarını da asla saklamıyor
Authy kullanıp kodları yedekleyebilirsiniz ama bu neredeyse “teknik kullanıcı” alanına giriyor
Sonuçta sıradan, ortalama insan için gerçekçi olan tek çözüm SMS. Operatörlerin SIM swap’ı daha zor hâle getirmesini sağlamalıyız
Orada SMS neyse ki yeterince pahalı; bu yüzden bankalar onun tek kullanımlık parola unsuru olarak ekonomik olmadığını ve ödeme doğrulamasında tek başına kullanılmak için de yeterince güvenli olmadığını düşünüp ikinci bir faktör gerektirdi
Sonuç olarak bankalar daha güvenli ya da daha ergonomik yöntemler sunmaya başladı. Örneğin bankaya özel kimlik doğrulama uygulamaları, çoğu zaman uluslararası seyahatte olduğu gibi internet veya hücresel sinyal olmasa bile çalışıyor; donanım doğrulayıcılar, WebAuthN vb.
“SIM swap’ı zorlaştıralım” değil; finans şirketleri çıtayı yükseltip hem güvenlik ihlaline hem de kullanıcının kilitlenmesine karşı daha az kırılgan yöntemler sunmalı
Vergi beyanı için MyGovID gerekiyor. Bu da pek iyi değil
Aynı mantığı başka yerlere de uygulayalım
Parola ile giriş sistemini devreye alan şirketler, Post-it hırsızlığından sorumlu olmalı
E-posta ile iki aşamalı doğrulamayı devreye alan şirketler, e-posta hesabı hırsızlığından sorumlu olmalı
Bu mantığın geçerli olup olmadığını bilmiyorum. Bunu tekrar tekrar görüyorum. Ortada yasayı ihlal etmeyen ve kolluk kuvvetleriyle işbirliği yapabilecek aktörler var; sonra yasaya uymayan suçlular gidip onların müşterilerine saldırıyor. İnsanlar, hükümeti parmak şıklatıp hırsızlığı iki kat, üç kat daha yasa dışı hale getiremeyecekleri için, genelde suçu olmayan tarafa yüklenip onların hayatını daha zorlaştırmaya çalışıyor
Derin bir nefes alıp bırakmak lazım. Suçlu yerine masum insanları cezalandırmanın zararsız bir seviyesi yok
Kulağa tuhaf ve çılgınca gelebilir ama bir SIM değiştiren kişi, SIM swap saldırısından sorumlu olmalı. Ne yani? Suçluyu mu suçlayalım? Cesur bir tavır ama doğru olan bu
Bildiğim kadarıyla ABD'deki tüketici odaklı mobil operatörlerin hiçbirinde yetkisiz SIM swap gibi şeyleri engelleyecek uygun korumalar yok
SMS ile iki aşamalı doğrulama uygulayan şirketler bunu bilmeli ve doğası gereği kusurlu bir iki aşamalı doğrulama sistemini bile bile tüketiciye “daha güvenli” diye satıyorsa, başarısız olduğunda bunun sorumluluğunu taşımalı
SMS ile iki aşamalı doğrulama ne kadar çabuk ölürse, sadece SMS tabanlı iki aşamalı doğrulama uygulamış eski web siteleri de gerçekten güvenli yöntemler uygulamak zorunda kalır
Daha iyisini yapmış olabilirlerdi, ama onları “cezalandırma” girişimi bana geriye dönük yasa yapma gibi geliyor. Yeni düzenlemeler getirip gelecekteki olayları cezalandırmak gerekir; bu olay özelinde ceza verilmesi gerekmiyor gibi
SIM swap saldırısı senin kontrolünde değil
Çevrimiçi hizmet sağlayıcının açısından bakınca SMS kullanmak tamamen mantıklı
Şu iki hedef çok benzer ama ayrı şeyler
SMS, 2. madde için çok etkili. Çünkü 100 farklı telefon numarasına erişimi olan insan neredeyse yok
Bir cep telefonu numarasına sahip olmak genelde adres, pasaport, sosyal güvenlik numarası gibi şeyler gerektiren kişisel bir süreci içerir. Aşılması gereken prosedürler vardır
Şirketlerin SMS'e dayanmasının nedeni, müşterini tanı (KYC) sürecini operatörlere dış kaynak olarak devredebilmek. Bunu hesap sahipliğini kanıtlamak için en iyi ya da en güvenli çözüm olduğu için kullanmıyorlar
Sürekli şikayet edenlerin, düzenlemeye tabi ya da finansal hizmetlerle ilgili bir şirkette böyle kimlik doğrulama kararları vermiş olmadığı çok açık
Hesap oluştururken telefon numarası istemek, ama yalnızca o numaraya gönderilen SMS ile hesabın ele geçirilmesine izin vermemek mümkündür
Aynı mantıkla şirketlerin kullanıcıları takip etmesini ve kişisel verileri satmasını da meşrulaştırabilirsin. Para kazanıyorlar ve para kazanmak bir işletmeyi yürütmenin önemli bir parçası
Doğrulama başına 50 sent gibi çok düşük ücretlerle onlarca, yüzlerce telefon numarası kullanabiliyorsun. Biraz bile niyeti olan birini durdurmaz