“SMS doğrulama” sistemi milyonlarla istifadəçini risk altında qoyur
LivePress Xarici Mediaya istinadən bildirir:
Yeni dərc edilmiş araşdırma, istifadəçilərin giriş linkləri və SMS vasitəsilə göndərilən birdəfəlik kodlarla autentifikasiyasını həyata keçirən yüzlərlə məşhur xidmətin milyonlarla insanın şəxsi məlumatlarını ciddi risk altına atdığını ortaya qoyub.
Bu üsul sığorta təkliflərindən tutmuş iş elanlarına, ev heyvanlarına baxanlara və fərdi dərs platformalarına qədər bir çox xidmətlərdə istifadə olunur; Bu, fırıldaqçılıq, şəxsiyyət oğurluğu və hesaba icazəsiz giriş üçün qapı açır.
Araşdırmaya görə, 175-dən çox xidmət adından SMS göndərən 700-dən çox son nöqtədə istifadəçi təhlükəsizliyini zəiflədən proqramlar var. Ən böyük problemlərdən biri SMS vasitəsilə göndərilən keçidlərin proqnozlaşdırıla bilən və ya asanlıqla təkrarlanmasıdır. Təcavüzkarlar sadəcə olaraq təhlükəsizlik nişanlarını dəyişdirməklə digər insanların hesablarına daxil ola, şəxsi məlumatlara baxa və bəzi hallarda istifadəçini təqlid edə bilərlər.
Tədqiqatçılar vurğulayırlar ki, bu hücumlar geniş miqyasda istehlakçı səviyyəli avadanlıq və əsas və orta səviyyəli veb təhlükəsizliyi bilikləri ilə həyata keçirilə bilər. Üstəlik, bir çox keçid illərdir etibarlı qalır ki, bu da icazəsiz giriş riskini artırır.
“ASAN VƏ SÜRÜNMƏSİZ”
Problemi daha da ağırlaşdıran digər amil isə SMS-in şifrələnməməsidir. Keçmişdə milyonlarla mətn mesajının saxlandığı və adlar, ünvanlar, istifadəçi adları, parollar, maliyyə proqramları kimi həssas məlumatları ehtiva edən açıq verilənlər bazaları aşkar edilmişdir. Buna baxmayaraq, SMS əsaslı giriş “asan və sürtünməsiz” olduğu üçün üstünlük təşkil edir.
YÜZ MİNLƏRƏ MÜRACİƏTƏ BAXLANIB
Tədqiqatçılar 33 milyondan çox mesajdan əldə edilən 322 mindən çox unikal giriş linkini araşdırıblar. 701 son nöqtədən gələn və 177 xidməti əhatə edən bəzilərinin şəxsiyyət nömrəsi, doğum tarixi, bank hesabı məlumatları və kredit hesabı kimi kritik şəxsi məlumatları ortaya çıxara biləcəyi müəyyən edilmişdir. Xidmətlərdən 125-i aşağı təhlükəsizlik nişanlarına görə toplu bağlantı proqnozuna qarşı həssas tapıldı.
Ekspertlərin fikrincə, məsuliyyət əsasən xidmət təminatçılarının üzərinə düşür. İstifadəçilərə “həssas məlumat verməyin” demək kifayət deyil; Çünki siyahıda milyonlarla istifadəçisi olan tanınmış platformalar da var.
“KRİPTOQRAFİK VƏ GÜÇLÜ” OLMALIDIR
Digər tərəfdən, ekspertlər deyirlər ki, “sehrli əlaqə” metodu özlüyündə təhlükəli deyil; Bununla belə, onun qısa müddətli, ilk girişdə etibarsız və kriptoqrafik cəhətdən güclü olması lazım olduğunu vurğulayır. Bəzi məxfiliyə yönəlmiş saytlar bu üsuldan e-poçtla istifadə edir; Bununla belə, böyük məlumat ehtiva edən banklar və xidmətlər üçün bu kifayət deyil. İkinci güclü autentifikasiya faktoru və cəhdlərin sayına məhdudiyyət də təhlükəsizliyi artırmaq üçün vacibdir.
Müəllif haqqında
