Çoğumuz çevrimiçi hesaplarımızı koruma altına almak için iki faktörlü doğrulama sistemini kullanırız. Bu sistem için kullanmak için ise SMS ile cihazımıza gelen kodları kullanırız. Ayrıca şifremizi unuttuğumuzda ya da değiştirmek istediğimizde de şifre sıfırlama kodları yine SMS olarak telefonumuza ulaşır. Peki bu kodlar halka açık olarak sergileniyor desek?
Birleşik Devletler’in Kaliforniya eyaletindeki San Diego kentinde halka açık durumda bulunan Voxox şirketine ait bir sunucu, şifre ile korunmadığı için gerçek zamanlı metin mesajı içeriklerinin okunmasını mümkün kılıyor. Dahası, bu verilerin içinde iki faktörlü doğrulama kodları, şifre sıfırlama kodları ya da kargo teslim bildirimleri gibi kritik bilgiler bulunuyor.
Alman güvenlik araştırmacısı Sébastien Kaul, sunucuya girince bundan çok daha fazlasının halka açık olarak sunulduğunu fark etti. Vovox sunucularına veriler gönderen kişilerin isimleri, telefon numaraları ve metin mesajı içerikleri sunucuda açık bir şekilde sergileniyordu. Bir başka deyiş ile çevrimiçi hesaplarınızın ele geçirilmemesi için hiçbir neden yoktu.
Herhangi bir çevrimiçi hesabın şifresinin değiştirmesi için telefon numarası ve bu telefon numarasına gönderilen iki faktörlü doğrulama kodu ya da şifre sıfırlama kodu girilmesi yeterli oluyor. Dolayısı ile halka açık halde olan Vovox sunucusuna giren bir siber korsan, dilediği kişinin çevrimiçi hesaplarını kolaylıkla ele geçirebilirdi.
TechCrunch, kendi yaptığı incelemede sunucunun artık kapalı olduğunu bildirdi. Ancak sunucu kapanana kadar 26 milyonun üzerinde metin mesajını açık bir şekilde sergiledi. Bu metin mesajlarının içinde Microsoft, Amazon, Messenger, Booking.com ve daha pek çok şirkete ait doğrulama kodları bulunuyordu.