ABD merkezli popüler bir mesajlaşma uygulaması olan Twilio'ya düzenlenen siber saldırıda, saldırganlar 33 milyon kullanıcının telefon numarasını çaldı. Saldırının, Twilio'nun kimlik doğrulama sistemindeki bir açığı kullanılarak gerçekleştirildiği biliniyor. Bu açık sayesinde saldırganlar, kullanıcılara gönderilen SMS kodlarına erişim sağlayarak hesaplara giriş yapabildiler.
KULLANICILAR BİLGİLENDİRİLDİ
Saldırının ardından Twilio, etkilenen kullanıcıları bilgilendirmeye başladı ve sorunun çözümü için çalışmalar yürüttüğünü açıkladı. Şirket ayrıca, kimlik doğrulama sistemini daha da güvenli hale getirmek için ek önlemler aldığını da duyurdu.
İKİ ADIMLI DOĞRULAMA GÜVENLİ Mİ?
Twilio'ya göre, telefon numaralarının sızdırılması Authy adlı sistemden kaynaklandı. Authy, Twilio'nun sahip olduğu bir iki faktörlü kimlik doğrulama uygulamasıydı ve kullanıcılar tarafından hesaplara giriş yaparken kullanılıyordu. Sistemdeki bir açık nedeniyle, saldırganların hesaplarla ilişkili verilere erişebildiği belirtildi. Bu durum, iki adımlı doğrulama sistemlerine olan güvenin sarsılmasına yol açtı.
Günümüzde birçok uygulama, kullanıcılarına güvenliği artırmak için iki adımlı doğrulama seçeneği sunuyor. Bu yöntemde, kullanıcılar hesaplarına giriş yaparken gelen SMS kodunu da girerek kimliklerini doğrulamak zorundalar.
Twilio, Authy kullanan tüm kullanıcılarından Android ve iOS uygulamalarını güncellemelerini ve olası saldırılara karşı dikkatli olmalarını önerdi.