Valve'ın Oyun Geliştiricilerine Yönelik 2FA Yetkisi SMS Yapışkanlığını Gösteriyor - Dünyadan Güncel Teknoloji Haberleri

Valve'ın Oyun Geliştiricilerine Yönelik 2FA Yetkisi SMS Yapışkanlığını Gösteriyor - Dünyadan Güncel Teknoloji Haberleri
“Temel olarak [an attacker could] Herhangi bir telefon numarasını devralın ve telefon çağrılarını ve en önemlisi bu durumlarda o numaralara gönderilen SMS mesajlarını almaya başlayın

“Güvenlik güncellemesinin bir parçası olarak, yayımlanan bir uygulamanın varsayılan/genel şubesinde canlı olarak oluşturulan herhangi bir Steamworks hesap ayarının, Steam’in devam etmeden önce size bir onay kodu gönderebilmesi için hesaplarıyla ilişkilendirilmiş bir telefon numarasına sahip olması gerekecektir

Aynı zamanda saldırganların işlerini biraz daha zorlaştırmak, geliştiricilerin ve oyun oyuncularının korunmasına yardımcı olur Tüketiciyle yüzleşen şirketler için sürtünmeyi azaltmak oyunun adıdır

SMS: İyi Bir İlk Adım, Ama…

ESET’ten Anscombe, şirketlerin tüketicilere odaklandığını ve 2FA güvenliğinin yarattığı ek sürtüşmenin, Google’ın veya Microsoft’un kimlik doğrulayıcıları gibi halihazırda yaygın olarak benimsenen uygulama tabanlı faktörlerin kullanılmasından endişe duyduğunu söylüyor Kanala saldırmak için saldırganın tek yapması gereken hedeflenen kişinin telefon numarasını bilmektir “Uygulamanın kendisi, ek bir güvenlik katmanı ekleyen bir geçiş anahtarı veya biyometri ile korunmalıdır

“Bütün sistem temel olarak bir güven varsayımına dayanıyor; herhangi bir mağazaya girebilir, sözleşmemi kolayca iptal edebilir ve telefon numaramı hemen hemen her operatöre taşıyabilirim” diyor Freslon, başka bir geliştirici gibi davranan siber suçluların kendisine kötü amaçlı içerik içeren doğrudan bir mesaj göndermesiyle bir sosyal mühendislik dolandırıcılığının kurbanı oldu

“Gerçekte bu, kullanıcının bankacılık, ödeme, sosyal medya, kripto para birimi ve değerli kişisel bilgilere sahip diğer uygulamalar için oturum açma bilgilerini çalmaktı” diyor

Ancak bulut güvenlik platformu Lookout’ta uç nokta ve tehdit istihbaratından sorumlu başkan yardımcısı David Richardson, cep telefonu mağazasına girme (SIM değiştirme) veya yolsuz bir teknisyen bulma gibi düşük teknolojili yaklaşımın bile işe yaradığını söylüyor

Dijital güvenlik firması ESET’in baş güvenlik savunucusu Tony Anscombe’a göre, örneğin 2022’de, Xenomorph olarak bilinen bir bankacılık Truva atı, kötü amaçlı yazılımın arkasındaki siber suçlu grubunun onu bir performans aracı olarak gizlemesinin ardından 50

“Bir uygulama SIM klonlamasına veya SMS mesajlarını okumak için işletim sisteminin izin sistemini kullanan kötü amaçlı yazılımlara tabi değildir” diyor ”

Kullanıcılar, siber suçluların para kazanmayı amaçladığı çevrimiçi hesaplarda daha fazla dijital oyun içi varlığa sahip olduğundan ve hile yapanlar avantaj elde etmek için diğer oyuncuların hesaplarına erişmeye çalıştıklarından, güvenliği artırmak oyun şirketleri için önemli hale geldi Oyun geliştiricisi stresli Oyunun güvenli bir versiyonunun 15 Eylül’den beri mevcut olduğu ve “tamamen temiz bir makineden” yüklendiği belirtildi ”

Bir SMS kodu, örneğin NanoWar: Cells VS Virus oyununun arkasındaki bağımsız geliştirici olan Benoît Freslon’u koruyabilirdi … En stresli günlerdi [sic] bağımsız geliştirici hayatımın

“Tüketici odaklı birçok şirket halihazırda Microsoft veya Google kimlik doğrulama uygulamalarını kullanma seçeneğini sunuyor; tüketiciler bu uygulamaları zaten yüklemiş olabileceğinden bu, benimseme engelini azaltıyor” diyor 000’den fazla Android cihazını tehlikeye attı



Steam oyun dağıtım platformunda bağımsız geliştiricileri hedef alan bir dizi saldırının ardından oyun yapımcısı Valve, geçen hafta, şirketin 24 Ekim’den itibaren iki faktörlü kimlik doğrulama (2FA) için SMS kullanabilmesi amacıyla geliştiricilerin telefon numaralarını vermelerini isteyeceğini söyledi Steam, yalnızca geliştiricileri değil, müşterilerini ve itibarını daha iyi korumak için gelecekte daha fazla güvenlik önlemi almayı planlıyor

“Hack’e uğradım, Discord ve Steam dahil tüm sosyal ağ hesaplarım ele geçirildi… [t]Bilgisayar korsanı bir kötü amaçlı yazılım yükledi [sic] Steam’in forumlarında bir geliştirici şunu belirtti: “Hesabım ” Bir arkadaşınız sizden Discord’daki özel mesajla oyununu test etmenizi istediğinde dikkatli olun

2FA Hiç Yoktan Daha İyidir

SMS tabanlı 2FA, son kullanıcılar için nispeten sorunsuz bir güvenlik mekanizması olması gibi basit bir nedenden dolayı güvensizlik karşısında varlığını sürdürüyor: Bir şirketin, kimlik doğrulama için tek seferlik şifreyi kısa mesajla göndermek için müşterinin telefon numarası olduğunu bilmesi yeterlidir ”

Ancak SMS tabanlı iki faktörlü kimlik doğrulama, ısrarcı saldırganlar tarafından çeşitli yöntemler kullanılarak atlatılabildiğinden, bu hareket şu soruyu gündeme getiriyor: Tüketiciye yönelik çevrimiçi hizmetler neden hala SMS’i hem şirket içinde hem de müşteriler için ikinci faktör haline getiriyor?

SMS Tabanlı 2FA: Gerçekten Güvenli Değil

SMS iki faktörlü kimlik doğrulamayı atlatmak, saldırganlar arasında bir öncelik haline geldi ve aslında, ortadaki makine saldırılarından sosyal mühendisliğe kadar her şey kullanılarak yenilgiye uğratıldı; kötü şöhretli Uber ihlali vakasında 2FA yorgunluk saldırıları da dahil Örneğin, MGM Resorts ve Caesars Entertainment’ın son dönemdeki açıkları, saldırganlar tarafından daha sonraki saldırılar için kullanılabilecek telefon numaraları da dahil olmak üzere iş profesyonellerinin ve bireysel tüketicilerin milyonlarca kaydını açığa çıkardı ”

Ve cep telefonu numaraları internette en sık sızdırılan bilgilerden bazılarıdır Steam’in Topluluk forumları “Kötü amaçlı yazılım, aralarında PayPal ve Coinbase’in de bulunduğu 50’den fazla uygulamayı kötüye kullandı ve mesajları ve bildirimleri ele geçirerek siber suçluya iki faktörlü kimlik doğrulama kodlarını atlama yeteneği verdi “SMS tabanlı bir MFA’nız varsa, hacklenmeniz 10 kat daha zordur, bu nedenle… çok faktörlü kimlik doğrulamanın olmaması yerine, bir tür çok faktörlü kimlik doğrulamaya sahip olmanız çok daha iyidir “Bu gereksinimi gelecekte diğer Steamworks eylemleri için de eklemeyi planlıyoruz ” şirket bildiriminde belirtti

Lookout’tan Richardson, “Herhangi bir MFA, hiçbir MFA’dan daha iyidir; yani çok daha üstündür” diyor ”

Valve, hacklerin arkasındaki grubun geliştiricinin hesabındaki virüslü sürümü yayınlamasından bir gün sonra, 25 Ağustos’ta oyunu Steam’den kaldırdı



siber-1