SMS-lə göndərilən “login” keçidləri milyonlarla istifadəçi üçün təhlükə yaradır

Bir çox onlayn platforma - sığorta və işə qəbul xidmətlərindən tutmuş təhsil platformalarınadək - artıq ənənəvi “login-parol” modelindən imtina edir. Bu yanaşmanın əvəzində istifadəçilərə SMS vasitəsilə hesabına giriş üçün link göndərilir. Bu yeni üsul parol yadda saxlamaq problemini aradan qaldırsa da, yeni araşdırmalar göstərir ki, SMS ilə göndərilən bu “login” keçidləri istifadəçilər üçün ciddi təhlükəsizlik riskləri yarada bilər.

Tədqiqatın nəticələrinə əsasən bu linkləri göndərən sistemlər milyonlarla insanın məxfiliyini təhlükə altına salır. Alimlər 175-dən çox xidmət adından belə linklər yayan 700-dən artıq texniki endpoint müəyyən ediblər. Tədqiqatçılar ictimai SMS şlüzlərindən (virtual nömrələrə SMS qəbul edən xidmətlər) toplanan məlumatlar əsasında 30 min nömrəyə göndərilmiş 33 milyon SMS’i analiz edib və həmin mesajlardan 322949 unikal URL çıxarıblar.

Mütəxəssislər bildirir ki, belə hallarda üçüncü şəxslərin istifadəçi hesablarına çıxış əldə etməsi olduqca asanlaşıb. 701 xidmətin 125-də linklərdəki təhlükəsizlik tokeninin (URL-in son hissəsindəki kodun) ardıcıl  seçim yolu ilə təxmin edilə biləcəyi müəyyənləşdirilib. Hücumçu özünə gələn linkdəki tokeni ardıcıl dəyişərək müxtəlif variantları yoxlayır: məsələn, “ABC” əvəzinə “ABD”, “123” əvəzinə “124” kimi variantları sınaqdan keçirir. Araşdırma göstərib ki, bu üsulla bəzi hallarda başqa şəxslərin hesablarına giriş əldə etmək mümkün olub.

Bəzi xidmətlərdə mümkün token kombinasiyalarının sayı kifayət qədər məhdud olduğundan, hesabların “bruteforce” üsulu ilə sındırılması riski daha da artır. Üstəlik, bir çox link göndərildikdən sonra uzun müddət, hətta illərlə  aktiv qala bilir. Bu da icazəsiz giriş ehtimalını daha da artırır.

Digər kritik məqam SMS trafikinə müdaxilə ehtimalıdır. Çünki SMS’lər çox vaxt şifrlənmədən ötürülür. Daha əvvəl aparılan araşdırmalarda giriş linkləri və həssas məlumatlar daxil olmaqla köhnə SMS mesajlarının saxlandığı açıq bazalar da aşkarlanıb. Xüsusilə 2019-cu ildə aşkar edilən bir insidentdə şirkət və müştərilər arasında olan milyonlarla mesajın sızdığı, həmin yazışmalarda istifadəçi adlarının, hesab məlumatlarının, maliyyə müraciətlərinə dair detalların və digər məzmunların yer aldığı bildirilib. 

Araşdırmada qeyd olunur ki, 177 xidmətə məxsus 701 endpoint bu zəif keçidlər üzərindən kritik şəxsi məlumatları ötürüb. Nəticədə hücumçular link- tokenləri seçim yolu ilə tapmaqla və ya SMS arxivlərinə çıxış əldə etməklə sosial sığorta nömrələri, bank hesab məlumatları, kredit reytinqləri kimi həssas informasiyaları ələ keçirə bilər.

Məlumata görə, tədqiqatçılar problemin aradan qaldırılması üçün 150 əsas xidmət təminatçısı ilə əlaqə saxlayıblar. Lakin yalnız 18 şirkət geri dönüş edib və onlardan cəmi 7-si müvafiq boşluqları aradan qaldırıb. Mütəxəssislər istifadəçilərə də müraciət edərək, mümkün olduqda problemi xidmətə bildirməyi və şəxsi məlumatlarını platformalardan silməyi tövsiyə ediblər.

Ekspertlərin fikrincə, SMS və ya e-poçt üzərindən göndərilən “login” keçidləri yalnız minimum təhlükəsizlik standartları tətbiq edildiyi halda daha etibarlı hesab oluna bilər. Bu standartlara keçidin qısa müddət qüvvədə olması (maksimum 24 saat və ya daha az), yalnız bir dəfə istifadə edilməsi, tokenin isə kifayət qədər uzun və təsadüfi (ən azı 64 bit entropiya) şəkildə formalaşdırılması daxildir. Əlavə olaraq, ikinci autentifikasiya faktorunun tətbiq olunması (məsələn, əlavə şifr və ya 2FA) və ya giriş cəhdlərinin məhdudlaşdırılması da riskləri azaldan vacib tədbirlərdən sayılır.

Ümumi nəticə ondan ibarətdir ki, SMS-lə giriş modeli geniş yayılıb və qısa müddətdə tamamilə aradan qalxacağı gözlənilmir. Bu səbəbdən istifadəçilər nəzərə almalıdır ki, bəzi xidmətlərin təhlükəsizlik tələblərinə lazımi səviyyədə əməl etməməsi onların məxfi məlumatlarının sızmasına və hesablarının icazəsiz ələ keçirilməsinə real zəmin yarada bilər.