Steam oyun dağıtım platformunda bağımsız geliştiricileri hedef alan bir dizi saldırının ardından oyun yapımcısı Valve, geçen hafta, şirketin 24 Ekim’den itibaren iki faktörlü kimlik doğrulama (2FA) için SMS kullanabilmesi amacıyla geliştiricilerin telefon numaralarını vermelerini isteyeceğini söyledi. .
“Güvenlik güncellemesinin bir parçası olarak, yayımlanan bir uygulamanın varsayılan/genel şubesinde canlı olarak oluşturulan herhangi bir Steamworks hesap ayarının, Steam’in devam etmeden önce size bir onay kodu gönderebilmesi için hesaplarıyla ilişkilendirilmiş bir telefon numarasına sahip olması gerekecektir.” şirket bildiriminde belirtti. “Bu gereksinimi gelecekte diğer Steamworks eylemleri için de eklemeyi planlıyoruz.”
Ancak SMS tabanlı iki faktörlü kimlik doğrulama, ısrarcı saldırganlar tarafından çeşitli yöntemler kullanılarak atlatılabildiğinden, bu hareket şu soruyu gündeme getiriyor: Tüketiciye yönelik çevrimiçi hizmetler neden hala SMS’i hem şirket içinde hem de müşteriler için ikinci faktör haline getiriyor?
SMS Tabanlı 2FA: Gerçekten Güvenli Değil
SMS iki faktörlü kimlik doğrulamayı atlatmak, saldırganlar arasında bir öncelik haline geldi ve aslında, ortadaki makine saldırılarından sosyal mühendisliğe kadar her şey kullanılarak yenilgiye uğratıldı; kötü şöhretli Uber ihlali vakasında 2FA yorgunluk saldırıları da dahil.
Dijital güvenlik firması ESET’in baş güvenlik savunucusu Tony Anscombe’a göre, örneğin 2022’de, Xenomorph olarak bilinen bir bankacılık Truva atı, kötü amaçlı yazılımın arkasındaki siber suçlu grubunun onu bir performans aracı olarak gizlemesinin ardından 50.000’den fazla Android cihazını tehlikeye attı.
“Gerçekte bu, kullanıcının bankacılık, ödeme, sosyal medya, kripto para birimi ve değerli kişisel bilgilere sahip diğer uygulamalar için oturum açma bilgilerini çalmaktı” diyor. “Kötü amaçlı yazılım, aralarında PayPal ve Coinbase’in de bulunduğu 50’den fazla uygulamayı kötüye kullandı ve mesajları ve bildirimleri ele geçirerek siber suçluya iki faktörlü kimlik doğrulama kodlarını atlama yeteneği verdi.
Ancak bulut güvenlik platformu Lookout’ta uç nokta ve tehdit istihbaratından sorumlu başkan yardımcısı David Richardson, cep telefonu mağazasına girme (SIM değiştirme) veya yolsuz bir teknisyen bulma gibi düşük teknolojili yaklaşımın bile işe yaradığını söylüyor. Kanala saldırmak için saldırganın tek yapması gereken hedeflenen kişinin telefon numarasını bilmektir.
“Bütün sistem temel olarak bir güven varsayımına dayanıyor; herhangi bir mağazaya girebilir, sözleşmemi kolayca iptal edebilir ve telefon numaramı hemen hemen her operatöre taşıyabilirim” diyor. “Temel olarak [an attacker could] Herhangi bir telefon numarasını devralın ve telefon çağrılarını ve en önemlisi bu durumlarda o numaralara gönderilen SMS mesajlarını almaya başlayın.”
Ve cep telefonu numaraları internette en sık sızdırılan bilgilerden bazılarıdır. Örneğin, MGM Resorts ve Caesars Entertainment’ın son dönemdeki açıkları, saldırganlar tarafından daha sonraki saldırılar için kullanılabilecek telefon numaraları da dahil olmak üzere iş profesyonellerinin ve bireysel tüketicilerin milyonlarca kaydını açığa çıkardı.
2FA Hiç Yoktan Daha İyidir
SMS tabanlı 2FA, son kullanıcılar için nispeten sorunsuz bir güvenlik mekanizması olması gibi basit bir nedenden dolayı güvensizlik karşısında varlığını sürdürüyor: Bir şirketin, kimlik doğrulama için tek seferlik şifreyi kısa mesajla göndermek için müşterinin telefon numarası olduğunu bilmesi yeterlidir. Tüketiciyle yüzleşen şirketler için sürtünmeyi azaltmak oyunun adıdır.
Aynı zamanda saldırganların işlerini biraz daha zorlaştırmak, geliştiricilerin ve oyun oyuncularının korunmasına yardımcı olur.
Lookout’tan Richardson, “Herhangi bir MFA, hiçbir MFA’dan daha iyidir; yani çok daha üstündür” diyor. “SMS tabanlı bir MFA’nız varsa, hacklenmeniz 10 kat daha zordur, bu nedenle… çok faktörlü kimlik doğrulamanın olmaması yerine, bir tür çok faktörlü kimlik doğrulamaya sahip olmanız çok daha iyidir.”
Bir SMS kodu, örneğin NanoWar: Cells VS Virus oyununun arkasındaki bağımsız geliştirici olan Benoît Freslon’u koruyabilirdi. Freslon, başka bir geliştirici gibi davranan siber suçluların kendisine kötü amaçlı içerik içeren doğrudan bir mesaj göndermesiyle bir sosyal mühendislik dolandırıcılığının kurbanı oldu. Steam’in Topluluk forumları.
“Hack’e uğradım, Discord ve Steam dahil tüm sosyal ağ hesaplarım ele geçirildi… [t]Bilgisayar korsanı bir kötü amaçlı yazılım yükledi [sic] Steam’in forumlarında bir geliştirici şunu belirtti: “Hesabım.” Bir arkadaşınız sizden Discord’daki özel mesajla oyununu test etmenizi istediğinde dikkatli olun. … En stresli günlerdi [sic] bağımsız geliştirici hayatımın.”
Valve, hacklerin arkasındaki grubun geliştiricinin hesabındaki virüslü sürümü yayınlamasından bir gün sonra, 25 Ağustos’ta oyunu Steam’den kaldırdı. Oyun geliştiricisi stresli Oyunun güvenli bir versiyonunun 15 Eylül’den beri mevcut olduğu ve “tamamen temiz bir makineden” yüklendiği belirtildi.
SMS: İyi Bir İlk Adım, Ama…
ESET’ten Anscombe, şirketlerin tüketicilere odaklandığını ve 2FA güvenliğinin yarattığı ek sürtüşmenin, Google’ın veya Microsoft’un kimlik doğrulayıcıları gibi halihazırda yaygın olarak benimsenen uygulama tabanlı faktörlerin kullanılmasından endişe duyduğunu söylüyor.
“Tüketici odaklı birçok şirket halihazırda Microsoft veya Google kimlik doğrulama uygulamalarını kullanma seçeneğini sunuyor; tüketiciler bu uygulamaları zaten yüklemiş olabileceğinden bu, benimseme engelini azaltıyor” diyor.
“Bir uygulama SIM klonlamasına veya SMS mesajlarını okumak için işletim sisteminin izin sistemini kullanan kötü amaçlı yazılımlara tabi değildir” diyor. “Uygulamanın kendisi, ek bir güvenlik katmanı ekleyen bir geçiş anahtarı veya biyometri ile korunmalıdır.”
Kullanıcılar, siber suçluların para kazanmayı amaçladığı çevrimiçi hesaplarda daha fazla dijital oyun içi varlığa sahip olduğundan ve hile yapanlar avantaj elde etmek için diğer oyuncuların hesaplarına erişmeye çalıştıklarından, güvenliği artırmak oyun şirketleri için önemli hale geldi. Steam, yalnızca geliştiricileri değil, müşterilerini ve itibarını daha iyi korumak için gelecekte daha fazla güvenlik önlemi almayı planlıyor.