Valve'ın Oyun Geliştiricilerine Yönelik 2FA Yetkisi SMS Yapışkanlığını Gösteriyor - Dünyadan Güncel Teknoloji Haberleri

Valve'ın Oyun Geliştiricilerine Yönelik 2FA Yetkisi SMS Yapışkanlığını Gösteriyor - Dünyadan Güncel Teknoloji Haberleri
” şirket bildiriminde belirtti Freslon, başka bir geliştirici gibi davranan siber suçluların kendisine kötü amaçlı içerik içeren doğrudan bir mesaj göndermesiyle bir sosyal mühendislik dolandırıcılığının kurbanı oldu

“Gerçekte bu, kullanıcının bankacılık, ödeme, sosyal medya, kripto para birimi ve değerli kişisel bilgilere sahip diğer uygulamalar için oturum açma bilgilerini çalmaktı” diyor ”

Valve, hacklerin arkasındaki grubun geliştiricinin hesabındaki virüslü sürümü yayınlamasından bir gün sonra, 25 Ağustos’ta oyunu Steam’den kaldırdı 000’den fazla Android cihazını tehlikeye attı Kanala saldırmak için saldırganın tek yapması gereken hedeflenen kişinin telefon numarasını bilmektir

“Bütün sistem temel olarak bir güven varsayımına dayanıyor; herhangi bir mağazaya girebilir, sözleşmemi kolayca iptal edebilir ve telefon numaramı hemen hemen her operatöre taşıyabilirim” diyor ”

Ve cep telefonu numaraları internette en sık sızdırılan bilgilerden bazılarıdır “Uygulamanın kendisi, ek bir güvenlik katmanı ekleyen bir geçiş anahtarı veya biyometri ile korunmalıdır

SMS: İyi Bir İlk Adım, Ama…

ESET’ten Anscombe, şirketlerin tüketicilere odaklandığını ve 2FA güvenliğinin yarattığı ek sürtüşmenin, Google’ın veya Microsoft’un kimlik doğrulayıcıları gibi halihazırda yaygın olarak benimsenen uygulama tabanlı faktörlerin kullanılmasından endişe duyduğunu söylüyor

“Güvenlik güncellemesinin bir parçası olarak, yayımlanan bir uygulamanın varsayılan/genel şubesinde canlı olarak oluşturulan herhangi bir Steamworks hesap ayarının, Steam’in devam etmeden önce size bir onay kodu gönderebilmesi için hesaplarıyla ilişkilendirilmiş bir telefon numarasına sahip olması gerekecektir



siber-1

Oyun geliştiricisi stresli Oyunun güvenli bir versiyonunun 15 Eylül’den beri mevcut olduğu ve “tamamen temiz bir makineden” yüklendiği belirtildi ”

Ancak SMS tabanlı iki faktörlü kimlik doğrulama, ısrarcı saldırganlar tarafından çeşitli yöntemler kullanılarak atlatılabildiğinden, bu hareket şu soruyu gündeme getiriyor: Tüketiciye yönelik çevrimiçi hizmetler neden hala SMS’i hem şirket içinde hem de müşteriler için ikinci faktör haline getiriyor?

SMS Tabanlı 2FA: Gerçekten Güvenli Değil

SMS iki faktörlü kimlik doğrulamayı atlatmak, saldırganlar arasında bir öncelik haline geldi ve aslında, ortadaki makine saldırılarından sosyal mühendisliğe kadar her şey kullanılarak yenilgiye uğratıldı; kötü şöhretli Uber ihlali vakasında 2FA yorgunluk saldırıları da dahil Steam’in Topluluk forumları

2FA Hiç Yoktan Daha İyidir

SMS tabanlı 2FA, son kullanıcılar için nispeten sorunsuz bir güvenlik mekanizması olması gibi basit bir nedenden dolayı güvensizlik karşısında varlığını sürdürüyor: Bir şirketin, kimlik doğrulama için tek seferlik şifreyi kısa mesajla göndermek için müşterinin telefon numarası olduğunu bilmesi yeterlidir

Dijital güvenlik firması ESET’in baş güvenlik savunucusu Tony Anscombe’a göre, örneğin 2022’de, Xenomorph olarak bilinen bir bankacılık Truva atı, kötü amaçlı yazılımın arkasındaki siber suçlu grubunun onu bir performans aracı olarak gizlemesinin ardından 50 “Temel olarak [an attacker could] Herhangi bir telefon numarasını devralın ve telefon çağrılarını ve en önemlisi bu durumlarda o numaralara gönderilen SMS mesajlarını almaya başlayın … En stresli günlerdi [sic] bağımsız geliştirici hayatımın

“Hack’e uğradım, Discord ve Steam dahil tüm sosyal ağ hesaplarım ele geçirildi… [t]Bilgisayar korsanı bir kötü amaçlı yazılım yükledi [sic] Steam’in forumlarında bir geliştirici şunu belirtti: “Hesabım “SMS tabanlı bir MFA’nız varsa, hacklenmeniz 10 kat daha zordur, bu nedenle… çok faktörlü kimlik doğrulamanın olmaması yerine, bir tür çok faktörlü kimlik doğrulamaya sahip olmanız çok daha iyidir

Ancak bulut güvenlik platformu Lookout’ta uç nokta ve tehdit istihbaratından sorumlu başkan yardımcısı David Richardson, cep telefonu mağazasına girme (SIM değiştirme) veya yolsuz bir teknisyen bulma gibi düşük teknolojili yaklaşımın bile işe yaradığını söylüyor

“Tüketici odaklı birçok şirket halihazırda Microsoft veya Google kimlik doğrulama uygulamalarını kullanma seçeneğini sunuyor; tüketiciler bu uygulamaları zaten yüklemiş olabileceğinden bu, benimseme engelini azaltıyor” diyor Steam, yalnızca geliştiricileri değil, müşterilerini ve itibarını daha iyi korumak için gelecekte daha fazla güvenlik önlemi almayı planlıyor ”

Bir SMS kodu, örneğin NanoWar: Cells VS Virus oyununun arkasındaki bağımsız geliştirici olan Benoît Freslon’u koruyabilirdi

“Bir uygulama SIM klonlamasına veya SMS mesajlarını okumak için işletim sisteminin izin sistemini kullanan kötü amaçlı yazılımlara tabi değildir” diyor

Aynı zamanda saldırganların işlerini biraz daha zorlaştırmak, geliştiricilerin ve oyun oyuncularının korunmasına yardımcı olur

Lookout’tan Richardson, “Herhangi bir MFA, hiçbir MFA’dan daha iyidir; yani çok daha üstündür” diyor



Steam oyun dağıtım platformunda bağımsız geliştiricileri hedef alan bir dizi saldırının ardından oyun yapımcısı Valve, geçen hafta, şirketin 24 Ekim’den itibaren iki faktörlü kimlik doğrulama (2FA) için SMS kullanabilmesi amacıyla geliştiricilerin telefon numaralarını vermelerini isteyeceğini söyledi ”

Kullanıcılar, siber suçluların para kazanmayı amaçladığı çevrimiçi hesaplarda daha fazla dijital oyun içi varlığa sahip olduğundan ve hile yapanlar avantaj elde etmek için diğer oyuncuların hesaplarına erişmeye çalıştıklarından, güvenliği artırmak oyun şirketleri için önemli hale geldi ” Bir arkadaşınız sizden Discord’daki özel mesajla oyununu test etmenizi istediğinde dikkatli olun Tüketiciyle yüzleşen şirketler için sürtünmeyi azaltmak oyunun adıdır Örneğin, MGM Resorts ve Caesars Entertainment’ın son dönemdeki açıkları, saldırganlar tarafından daha sonraki saldırılar için kullanılabilecek telefon numaraları da dahil olmak üzere iş profesyonellerinin ve bireysel tüketicilerin milyonlarca kaydını açığa çıkardı “Bu gereksinimi gelecekte diğer Steamworks eylemleri için de eklemeyi planlıyoruz “Kötü amaçlı yazılım, aralarında PayPal ve Coinbase’in de bulunduğu 50’den fazla uygulamayı kötüye kullandı ve mesajları ve bildirimleri ele geçirerek siber suçluya iki faktörlü kimlik doğrulama kodlarını atlama yeteneği verdi