Çarşamba günü Reddit'te paylaşılan bir gönderide, Reddit yöneticileri Temmuz ayının ortalarında bir saldırganın Reddit çalışanlarının hesap şifrelerine eriştiğini açıkladı. Saldırgan bundan sonra sitenin kurulduğu 2005 yılından Mayıs 2007'ye kadar olan tüm yedek verileri ele geçirmiş. Reddit'in ele geçirilen yedekleme verileri arasında kripto grafik olarak şifrelenerek korumaya alınmış hesap parolaları, kullanıcı isimleri, e-posta adresleri ve özel mesajlar dahil tüm kullanıcı verileri de yer alıyor. Saldırgan ayrıca aynı yılın 3-17 Haziran tarihleri arasında siteden kullanıcılara gönderilen tüm bilgilendirme maillerine de erişmiş bulunuyor. Bilgilendirme maillerinin içerdiği bilgiler ise kullanıcıların hesap verileri ve abone oldukları gizli olmayan subreddit'lere ait gönderdiler.
Buradaki ilgi çekici detay ise sözkonusu Reddit gönderisinde saldırıya uğrayan yönetici hesaplarının hepsinin iki faktörlü kimlik doğrulaması kullanıyor olması. Bu protokol; Reddit gibi söz konusu bir sitede yeni bir bilgisayardan oturum açmak için kullanıcı adı ve parola girmenin yanı sıra, websitesi tarafından o an oturum açmak için oluşturulup kullanıcının yanında taşıdığı bir cihaza (ör. akıllı telefon) gönderilen tek kullanımlık bir parolayı da girmesini öngörüyor. Reddit'in kullandığı protokol ise kullanıcı ismi ve parola girmenin yanı sıra sistem tarafından telefona SMS aracılığı ile gönderilen bir tek kullanımlık şifreyi girmekten ibaret. Oysa ki yapılan araştırmalar bunun net olarak saldırıya açık bir sistem olduğunu ortaya koymuştu.
Reddit yöneticileri, açıklamalarında "Websitesinin tüm birincil erişim noktalarını ve altyapısını iki faktörlü kimlik doğrulamaya emanet ettik ancak SMS tabanlı kimlik doğrulama umduğumuz gibi güvenilir çıkmadı. SMS'lere müdahale edilmesi saldırının esas ögesi oldu." cümlelerini de kullandı. Reddit yönetimi, açıklamalarına "Bu noktada herkesin dijital imza temelli iki faktörlü kimlik doğrulamaya geçmesini öneriyoruz." cümlelerini de ekledi.
SMS tabanlı tek kullanımlık şifreler birçok saldırıya açık olan yetersiz bir güvenlik önlemi olarak biliniyor. Saldırganın mevcut birçok seçeneğinden birisi de kurbanın cep telefonu hattını ele geçirmek. Bunu kullanıcının opetarörüne kullanıcının kimliğini taklit ederek başvurmak yoluyla bile yapabiliyorsunuz. Amerikan Federal Ticaret Komisyonu teknoloji müdürü de bu yöntemle telefon hattını saldırganlara kaptırmıştı. Tek kullanımlık kodlar ayrıca kurbandan operatörler, bankalar veya devlet kurumları taklit edilerek atılan mesajlar ile de elde edilebiliyor. Ayrıca telefonunuza yükleyebileceğiniz herhangi bir zararlı uygulama da hesabınıza sizin adınıza başka birisinin giriş yapması için onay kodu gönderebiliyor.
Açıkçası bu protokolün açıkları saymakla bitmiyor. Bu sebeple bu doğrulama yöntemi, akıllı telefon uygulamalarının yükselişi ile beraber birçok şirket tarafından yerini tek kullanımlık şifreler üretebilen kimlik doğrulama uygulamalarına bıraktı. Örnek olarak Google hesabınıza girişinizi Google Authenticator uygulamasından ve Google Duo'dan tamamlayabiliyorsunuz. Bütün bunlardan daha sağlam bir güvenlik önlemi ise fiziksel dijital imza ismiyle tanınan, bilgisayarara direkt olarak bağlanabilen güvenlik cihazlarını kullanmaktan geçiyor. Kullanıcı doğru parolayı girdikten sonra güvenlik cihazında ayarlanan bir tuşa dokunması isteniyor ve cihazdan gelen tek kullanımlık şifre ile giriş tamamlanmış oluyor.
Sonuç olarak SMS bazlı iki faktörlü kimlik doğrulama kullanımı, hiçbir iki faktörlü kimlik doğrulama olmamasından daha iyi bir güvenlik önlemi. Ancak bu Reddit'in başına gelenlere bakılırsa bu yöntemin faydası çok az ve riskleri büyük. Diğer şirketlerin ve devlet kurumlarının bundan ders alarak daha güvenli protokollere geçiş yapması gerekiyor. Fiziksel dijital imzanın uygulanmasının pek pratik olmadığı durumlarda en azından uygulamalar tarafından oluşturulan tek kullanımlık şifrelere güvenmek, SMS bazlı alternatiften çok daha güvenli olacaktır. Güvenlik uzmanlarının uzun zamandır bildiği gerçek aslında bu ancak Reddit'in başına gelenler, bu gerçekleri iyi bilmesi gereken yöneticilerin bu tavsiyelere her zaman uymadığını gösteriyor. (Chip)