Küfür ve tehdit eden mesajların altından basit bir yazılım açığı çıktı... Telefonda korsan ‘bildirim’

ÖNCE Anadolu Sigorta, ardından Hızlı Geçiş Sistemi (HGS) ve PTT... Akıllı telefonlarında bu şirketlerin uygulamalarını kullanan kişiler son üç gündür sayısız küfür ve tehdit bildirimleri aldı. Hatta, “Eğer bu BTC adresine 25 bin dolar göndermezseniz tüm veriyi paylaşacağım” bildirimi de yapıldı. Yaşanan gelişmelerin ardından bilgisayar korsanlarının söz konusu şirketleri hack’leyerek kişisel verileri ele geçirdiği akıllara geldi ancak işin aslı tam olarak öyle değil. Bir şekilde bu uygulamaların bildirim servislerindeki açıkları bulan korsanlar, kullanıcılara bu mesajları gönderebildi. Yaşanan kriz her ne kadar veri güvenliğiyle ilgili olmasa ve hemen müdahale edilse de bu açık binlerce kişinin dolandırılmasına yol açabilirdi.

HİZMET ALDIKLARI ŞİRKET AYNI

Kullanıcılara bildirim gönderen şirketlerin ortak noktaları, bu uygulamalara mesaj hizmetini sağlayan şirketin OneSignal olması. Sektörde binlerce müşterisi bulunan şirketin iddiası ise yaşanan sorunun kendilerinden kaynaklanmadığı yönünde. OneSignal’ın kurucusu ve CEO’su George Deglin, “Ekibimiz bu durumu araştırıyor, bunun olmasından dolayı üzgünüz. İlk aşamada bu uygulamaların API anahtarlarının tehlikeye atıldığı anlaşılıyor. Müşterilerin hackerlar tarafından zarar gördüğünü görmek her zaman acı vericidir. Bu uygulamaların devre dışı bırakıldığını doğrulayabiliriz, yani ek mesajlar gönderilmiyor. Ancak API anahtarlarının nasıl sızdırılmış olabileceğini belirlemek ve ek koruma için IP izin listesi özelliğimizi kullanmalarını önermek için bu firmalara ulaşacağız” dedi.

Mobil uygulamaları oluşturan kodlarına bilgisayardan biraz anlayan herkes ulaşabiliyor. Ancak, yaşanan durumda buradaki kodların içerisinde yer almaması gereken bir anahtar (OneSignal Rest API anahtarı) bulunuyor. İşte bu anahtarın açık olarak gösterilmesi bilgisayar korsanlarının dikkatini çekmiş ve bunu kullanarak kullanıcılara markaların izni olmadan kolay bir şekilde bildirim gönderilmiş. OneSignal sızan anahtarların kaldırıldığını açıkladı ancak bilgisayar korsanları daha sistematik ve kötü niyetli olsaydı muhtemelen birçok kişiyi dolandırabilirdi.

API ANAHTARI NEDİR? NE İŞE YARAR?

UYGULAMA Programlama Arayüzü (API), iki uygulamanın belirli tanımlar aracılığıyla birbiriyle iletişim kurmasına olanak tanıyan bir yazılım aracı olarak biliniyor. Daha basit bir tabirle uygulamalara erişim sağlamaya yarayan arayüzlere verilen isim diyebiliriz. API anahtarları ise kullanıcılara/üçüncü parti şirketlere oluşturulan benzersiz anahtarlardır. Mesela “saC5Wi7swTz6Fayd4WstrFaT34g2X9”
gibi karmaşık bir yazılım dizimi API anahtarı olabilir. Bu anahtar örneğin sizin Instagram hesabınızın API anahtarıysa onunla sizin adınıza paylaşım, mesaj vb. özellikleri yapılabilir. İşte OneSignal API anahtarı, uygulama klasörlerinin içerisinde açık şekilde durduğu için söz konusu bildirimlerin atılması mümkün oldu.

‘VERİLERİNİZ GÜVENDE’

YAŞANAN gelişmelerin ardından şirketler uygulamalarını güncelleyerek sorunları ortadan kaldırdığını açıkladı. Anadolu Sigorta’dan yapılan yazılı açıklamada, “Sigortam Cepte uygulamamızın dış katmanında bulunan bildirim/mesaj servisine yetkisiz erişim olayıyla ilgili olarak şirketimizce konuya ilişkin hızlı ve kapsamlı bir inceleme yapılmıştır. Öncelikle, kullanıc-ılarımızın kişisel verilerinin tamamen güvende olduğunu ve herhangi bir veri sızıntısı yaşanmadığını paylaşmak isteriz. Konuya ilişkin araştırma-larımız neticesinde, Sigortam Cepte uygulamamızın dış katmanında bulunan bildirim/mesaj servisine yetkisiz erişim tespit edilmiştir. Yetkisiz erişim, yalnızca bildirim/mesaj servisiyle sınırlı kalmış, şirketimizin veri tabanları ve güvenlik altyapısı bu durumdan etkilen-memiştir” denildi. HGS ve PTT’den de benzer açıklamalar yapıldı.