Çevrim içi ortamda güvenliğimizi sağlamak için tercih ettiğimiz tekniklerden biri de iki faktörlü doğrulama olarak da bilinen “2FA“. Bugün Google, Meta ve TikTok üzere dünyanın en büyük toplumsal ağ sağlayıcılarından tutun da Binance üzere kripto para borsalarında bile 2FA teknolojileri uygulanıyor. Kimi firmalar kendi sistemlerini ortaya koyarken kimileri ise üçüncü taraf işletmelerden yardım alıyor. İşte artık, bununla ilgili çok kıymetli bir gelişme yaşandı.
Pek çok ülkede SMS üzerinden 2FA hizmeti sunan YX International isimli bir şirket, eşi gibisi görülmemiş bir güvenlik açığının kurbanı oldu. Günde 5 milyondan fazla SMS gönderip kullanıcıların iki faktörlü kimlik doğrulama süreçlerini tamamlamasını sağlayan şirketin, bilgi tabanlarından birini şifresiz olarak bıraktığı tespit edildi. Yapılan incelemelere nazaran bu bilgi tabanı, kullanıcıların Google, Meta ve TikTok’a girerken gönderilen tek seferlik giriş kodu ve şifre sıfırlama ilişkilerini içeriyordu.
YX International, güvenlik açığının kapatıldığını açıkladı
Veri tabanının ortaya çıkması üzerine YX International ile bağlantıya geçildi. Yapılan açıklamalarda, sızdırılan data tabanının ne vakittir şifresiz olduğuna ait hiçbir bilgi verilmedi. Fakat incelenen evraklar, Temmuz 2023 tarihi prestijiyle başlıyordu. Yani şifreleme sorunu, büyük olasılıkla o tarihte başladı. YX International’dan bir temsilci, olay üzerine gerekli çalışmanın yapıldığını ve güvenlik açığının kapatıldığını açıkladı.
YX International’ın başına gelen olayın kaç kullanıcının güvenliğini ihlal ettiği aşikâr değil. Burada bilinen tek şey, TikTok, Instagram, Facebook ve YouTube üzere platformlara giriş yapmaya çalışan kullanıcılara gönderilen kodlar ile şifre sıfırlama temaslarının açığa çıkmış olması. Bilgisayar korsanlarının bu güvenlik açığını daha evvelce tespit edip etmedikleri ve açığı sömürüp sömürmedikleri üzere konular, şimdilik gizemini koruyor.