Özet:
• Yakın zamanda bir güvenlik araştırmacısı, şirketin iki adımlı doğrulama kodlarını içeren büyük bir veritabanının kamuya açık hale geldiğini ortaya çıkardı.
•Veriler, Google, Meta ve TikTok tarafından, kullanıcının kimliğini mümkün olan en kısa sürede doğrulamak amacıyla doğrulama kodları içeren kısa mesajlar göndermek için kullanılan bir hizmetle ilgilidir. .
•Bu iki faktörlü kimlik doğrulama, bir kişinin iCloud'unun hacklenmesinden telefon numarasının çalınmasına ve şifrelemenin aşılmasına kadar pek çok suç türünü barındırır.
Bir güvenlik araştırmacısı, dünyanın en büyük teknoloji şirketlerinden bazılarının hizmetlerine erişimi yöneten korumasız bir veritabanı keşfetti. Veritabanı, Meta, Google ve muhtemelen kripto şirketlerinin kullanıcılarına iki faktörlü kimlik doğrulama (2FA) kodları göndermekten sorumlu bir kısa mesaj hizmeti (SMS) yönlendirme operatörüne aittir.
Araştırmacı Anurag Sen, şirketin YX International veritabanının halka açık internette şifre korumalı olmadığını keşfetti. Genel İnternet Protokolü (IP) adresini bilen herkes verileri görüntüleyebilir.
İki faktörlü kimlik doğrulama ihlalinden etkilenen kullanıcılar
YX International, Meta, Google ve TikTok platformlarına giriş yapan kullanıcılara güvenlik kodları göndermektedir. Şirket, kullanıcıların mesajlarının küresel mobil ağlar üzerinden hızlı bir şekilde iletilmesini sağlıyor. Gönderdiği mesajlar, birçok büyük şirket tarafından kullanıcı hesaplarını korumak için kullanılan iki faktörlü kimlik doğrulama planlarının bir parçasını oluşturan güvenlik kodlarını içerir.
Google gibi bazı servis sağlayıcılar, şifre girdikten sonra SMS kodu göndererek kullanıcının kimliğini doğrulayabilir. Diğer kimlik doğrulama seçenekleri arasında, parolayı tamamlamak üzere kimlik doğrulama uygulamasından bir dizi kod oluşturulması yer alır.
İki faktörlü kimlik doğrulama güvenliği artırmak için tasarlanmış olsa da sihirli bir değnek değildir. Sonuç olarak kripto borsası Coinbase, 2FA'nın minimum güvenlik önlemi olduğu ancak tamamen güvenli olmadığı konusunda uyarıyor. Bilgisayar korsanları hâlâ kripto cüzdanlardan para çalmanın bir yolunu bulabilir.
Coinbase şunları belirtti:
"2FA güvenliği artırmak için tasarlanmış olsa da kusursuz değildir. İki faktörlü kimlik doğrulamayı elde eden bilgisayar korsanları yine de hesaplara yetkisiz erişim sağlayabilir. Yaygın yöntemler arasında kimlik avı saldırıları, hesap kurtarma prosedürleri ve kötü amaçlı yazılımlar yer alır. Bilgisayar korsanları Ayrıca metinlere müdahale etmek de mümkündür 2FA’da kullanılan mesajlar.”
Suçlular 2FA'yı atlatmak için bu yöntemleri kullanıyor
Geçen yıl suçluların Apple cihazlarında 2FA'yı nasıl atladığına dair raporlar ortaya çıktı. Bilgisayar korsanları, Apple'ın bulut platformu iCloud'a erişebilir ve bir kullanıcının telefon numarasını kendi telefon numarasıyla değiştirebilir. Bu plan, bazı uygulamaların güvenliği ihlal edilmiş telefon numaralarına doğrulama kodları gönderebilmesi nedeniyle Apple cihazlarındaki kripto cüzdan uygulamalarında tutulan fonları tehlikeye atıyor.
Suçlular, iki adımlı doğrulama kripto dolandırıcılığı gerçekleştirmek için SIM değiştirmeyi de kullanabilir. Bu saldırı yönteminde suçlular, AT&T veya Verizon gibi mobil operatörleri telefon numaralarını gerçek sahibinden dolandırıcının adına aktarmaya ikna ederler. Bu durumda suçlunun, gerçekte telefon numarasının bulunduğu, kendi kendine barındırılan cüzdan uygulamasına erişim sağlamak için yalnızca bir bilgiye daha ihtiyacı vardır.
Kuantum teknolojisindeki artışın ışığında Apple, yakın zamanda iPhone'larda yerleşik olan Secure Enclave donanım cihazının güvenliğini iyileştirdi. Kuantum sonrası şifreleme düzenleri, kötü niyetli bir aktörün eski bir anahtarı ele geçirdiği her seferde yeni anahtarlar oluşturur.
Bu özellik, kripto cüzdanı geliştiricilerinin, kritik bilgileri Secure Enclave'de depolayarak müşterilerinin kripto güvenliğini geliştirmelerine yardımcı olabilir. Şu ana kadar en az bir sağlayıcı, cüzdan uygulamasına erişim izni vermek için Secure Enclave'i kullandı.
Muhabirler, XY International veri ihlalinin kullanıcılarını etkileyip etkilemediğini öğrenmek için dünyanın en büyük kripto para borsaları Binance ve Coinbase ile temasa geçti. Yayınlandığı tarihte hiçbir şirket yanıt vermedi.
#安全漏洞 #2FA
