Milyonlarca kullanıcının tek seferlik kodları ve şifreleri sızdırıldı!
TikTok, Instagram, Facebook ve YouTube gibi platformlara giriş yaparken kullanılan tek seferlik kodlar ve şifre sıfırlama bağlantıları içeren bir veri tabanı sızdırıldı.
12punto
TikTok, Instagram, Facebook ve YouTube gibi platformlara giriş yaparken kullanılan tek seferlik kodları organize eden bir firmaya ait veri tabanı sızdırıldı. Milyonlarca kullanıcıya gönderilen bu kodlar ve şifre sıfırlama bağlantıları ifşa oldu.
Güvenliği sağlamak adına tercih ettiğimiz yöntemlerden biri olan iki faktörlü doğrulama, yani "2FA", dünya genelinde pek çok büyük sosyal medya platformu ve kripto para borsası tarafından uygulanıyor. Bu alanda faaliyet gösteren şirketler, kendi sistemlerini kurarken veya üçüncü taraf işletmelerden yardım alarak bu teknolojiyi hayata geçiriyorlar. Ancak bugün, bu alanda önemli bir güvenlik açığı yaşandı.
ŞİFRESİZ BIRAKILMIŞ
YX International adlı bir şirket, pek çok ülkede SMS aracılığıyla 2FA hizmeti sunuyordu. Ancak bu şirketin veri tabanlarından birinin şifresiz olarak bırakıldığı ortaya çıktı. Şirket, günde 5 milyondan fazla SMS göndererek kullanıcıların iki faktörlü kimlik doğrulama işlemlerini gerçekleştirmesine yardımcı oluyordu. Sızdırılan veri tabanı, kullanıcıların Google, Meta ve TikTok gibi platformlara giriş yaparken kullandıkları tek seferlik kodları ve şifre sıfırlama bağlantılarını içeriyordu.
Veri tabanının sızdırılmasının ne zamandan beri devam ettiği konusunda net bir bilgi bulunmamakla birlikte, incelenen dosyaların Temmuz 2023 tarihinden itibaren olduğu belirlendi. YX International yetkilileri, olayın farkına varılmasıyla birlikte gerekli güvenlik önlemlerini aldıklarını ve güvenlik açığını kapattıklarını açıkladılar.
Bu olayın kaç kullanıcının güvenliğini ihlal ettiği tam olarak bilinmemektedir. Ancak bilinen tek şey, TikTok, Instagram, Facebook ve YouTube gibi platformlara giriş yapmaya çalışan kullanıcılara gönderilen kodların ve şifre sıfırlama bağlantılarının sızdırıldığıdır. Bilgisayar korsanlarının bu güvenlik açığını daha önceden keşfetmiş olup olmadıkları ve açığı nasıl kullandıkları şu anda bilinmemektedir.