Hesap girişinde SMS doğrulamayı benimseyen şirketlerde, SIM swap saldırılarındaki sorumluluk tartışması büyüyor

 (keydiscussions.com)
1 puan yazan GN⁺ 2024-02-07 | 1 yorum | WhatsApp'ta paylaş

SMS tabanlı hesap girişini benimseyen şirketlerin sorumluluğu

  • SIM swap saldırılarının sürmesinin nedeni, Apple, Dropbox, PayPal, Block ve Google gibi birçok şirketin parola sıfırlama ve hesap girişi için SMS kullanma gibi kötü bir fikri benimsemiş olması.
  • SIM swap saldırısı, bir suçlunun operatörden kurbanın telefon numarasını kendi telefonuna taşımasını istemesi ve bunun üzerinden SMS ile gelen hesap giriş bilgilerini alarak para ve hassas bilgileri çalmasıdır.
  • SIM swap saldırılarını önlemenin yolu basit: Şirketler SMS üzerinden girişe veya parola sıfırlamaya izin vermemeli; SMS 2FA sunuyorlarsa bile Authy ya da Google Authenticator gibi daha güvenli seçenekler de sağlamalıdır.

SMS tabanlı doğrulamanın sorunları

  • SMS ile doğrulama, müşterilerin güvenliği için genel bir yöntem olarak sunulsa da e-posta doğrulaması gibi daha güvenli yöntemlere kıyasla, sunduğu rahatlığa rağmen güvenlik açısından zayıftır.
  • Müşterilere SMS göndermek, şifrelenmemiş bir kartpostal göndermek gibidir; SIM swap saldırılarında olduğu gibi herkes posta kutusunu açıp mesajı ele geçirebilir.
  • SMS, parola sıfırlama için en iyi seçenek değildir; Authy ya da e-posta kullanmak daha iyi 2FA seçenekleridir.

Teknoloji benimsemenin olumsuz yönü

  • Apple ve Google gibi şirketler, SMS ile parola sıfırlama ve hesap girişini destekleyen özellikler sunarak SMS'nin rolünü daha da güçlendirdi.
  • Bulut sağlayıcıları SMS kodları sağlamaktan gelir elde ediyor ve bu da temelde kusurlu bir teknolojinin güvenli bir çözüm gibi satılması anlamına geliyor.
  • Wells Fargo, Cash App, Robinhood, Schwab, PayPal ve Bank of America gibi finansal hizmetler de SMS ile sıfırlama/hesap girişi özellikleri sunuyor.

Müşterilerin yanlış algısı

  • Müşteriler, SMS ile sıfırlamanın doğası gereği kusurlu olduğunu anlamıyor; e-posta ile sıfırlama ya da Authy gibi 2FA uygulamaları üzerinden gelen giriş kodlarına kıyasla rahatlığı daha çok tercih ediyorlar.
  • Teknoloji şirketleri müşterileri korumakta başarısız oldu ve durumun dava süreçleri ile yasal düzenlemeler yoluyla değişmesi umuluyor.

GN⁺ görüşü

  • SMS tabanlı doğrulama, sunduğu rahatlığa rağmen güvenlik açıkları barındırıyor; bu nedenle şirketler daha güvenli doğrulama yöntemlerine geçmeli.
  • SIM swap saldırıları önlenebilir bir sorun olmasına rağmen sürüyor ve bunun nedeni şirketlerin yanlış teknoloji tercihleridir.
  • Bu yazı, teknoloji şirketlerinin müşteri güvenliğini önceliklendirmesi, SMS tabanlı doğrulama sistemlerini terk etmesi ve daha güvenli doğrulama yöntemlerini benimsemesi gerektiği yönünde önemli bir mesaj vererek kullanıcılara ve sektör uzmanlarına içgörü sunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-02-07
Hacker News görüşleri

  • SMS doğrulama kodlarının yarattığı rahatsızlığa dair şikayetler

    • Önceden TOTP kodları 1Password tarafından otomatik dolduruluyordu, ancak artık SMS doğrulaması nedeniyle uluslararası dolaşım ücreti ödemek ya da SMS yönlendirme ayarlamak gerekiyor.
    • Telefon numarasını her şirkete vermek yerine, doğrulama uygulamalarının SMS ile ilişkilendirilmesi gerektiği savunuluyor.
    • Telefon numarasını hesaba bağlamak şu nedenlerle kötü: telefonun kaybolması/çalınması, ülke değiştirme, SMS saldırıları, numaranın yeniden kullanılması, ücretli bir telefon hattını sürdürme gerekliliği.

  • Payoneer’in SMS sorununa dair bir deneyim paylaşımı

    • Arjantinli Movistar kullanıcılarını hedef alan Payoneer SMS doğrulama sorunu vardı, ancak Hacker News’te dikkat çekmedi.
    • Saldırganlar, Movistar müşterilerine 2FA gönderen SMS ağ geçidini hackleyerek Payoneer kullanıcılarının e-posta adreslerini öğrendi, şifrelerini değiştirdi ve para transfer etti.
    • Facebook, Twitter ve benzeri şirketler de maliyeti düşürmek için aynı SMS ağ geçidini kullandığından dikkatli olunması gerektiği belirtiliyor.

  • Telefon numarası kaybedildiğinde giriş sorunu

    • Telefon numarasını kaybeden kullanıcıların Google hesaplarına giriş yapamama sorunu yaşadığı belirtiliyor.

  • SMS doğrulamanın zahmeti ile TOTP’nin rahatlığının karşılaştırılması

    • SMS doğrulaması telefona ulaşma zahmeti yaratırken, TOTP’de kodların KeePassXC’de saklanabilmesi daha pratik bulunuyor.

  • SMS doğrulamanın kullanıcı deneyimi (UX) açısından savunulması

    • SMS ile giriş ve hesap kurtarmanın iyi bir kullanıcı deneyimi sunduğu, operatörlerin güvenliği güçlendirmesi gerektiği savunuluyor.

  • Google Voice numaralarının kullanımına getirilen kısıtlamalara tepki

    • Bazı şirketlerin Google Voice numaralarının doğrulama için kullanılamayacağını söylemesi ya da bunları geçersiz telefon numarası sayması eleştiriliyor.

  • SMS doğrulamanın gerekliliği ve operatörlerin rolü

    • Sıradan kullanıcılardan uygulama kurmalarını istemenin büyük bir yük olduğu, SMS’in onlar için fiilen tek gerçekçi çözüm olduğu belirtiliyor.
    • SIM swapping’i daha zor hale getirmek gerektiği savunuluyor.

  • SMS doğrulamanın amacı ve şirketlerin yaklaşımı

    • SMS doğrulaması, hesap sahipliğini kanıtlama ve kötü niyetli kullanıcıların hesap açmasını sınırlama olmak üzere iki amaç için etkili görülüyor.
    • Şirketlerin, cep telefonu şirketlerine KYC (Know Your Customer) sürecini outsource ederek en iyi güvenlik çözümünü sunmadığı belirtiliyor.

  • SMS doğrulamaya yönelik eleştiriler ve suçluların sorumluluğu meselesi

    • Eleştirmenlerin SMS doğrulaması kullanan şirketleri suçladığı, ancak aslında sorumluluğun suçlularda olduğu söyleniyor.
    • SIM swapping saldırılarının sorumluluğunun suçlularda olduğu vurgulanıyor.