Yaşanan olayın ardından, bilgisayar korsanlarının mesaj göndermek için kullandıkları yöntem açıklığa kavuştu. Uygulama paketinin içinde olması gereken bir API anahtarı açıkça sızdırıldı. Bu anahtar, korsanların izinsiz bildirimler göndermesini sağladı. Kriz hızlı bir şekilde çözülse de, bu güvenlik açığı ciddi dolandırıcılık vakalarına yol açabilirdi.
OneSignal İle Bağlantılı Şirketler Ortak Nokta Olarak Belirlendi
Yapılan araştırmalara göre, saldırıya uğrayan şirketlerin ortak noktası, mesaj hizmetlerini sağlayan şirketin OneSignal olmasıydı. OneSignal, sektörde binlerce müşterisi bulunan büyük bir platformdur. OneSignal CEO’su George Deglin, yaşanan sorunun kendi sistemlerinden kaynaklanmadığını belirtse de, API anahtarlarının tehlikeye girdiği anlaşıldı.
Hackerlar API Anahtarlarını Kullanarak Mesaj Gönderdi
Mobil uygulama kodlarına erişimi olan herkes, kolayca API anahtarlarına ulaşabiliyor. Durumda, yanlışlıkla bir OneSignal Rest API anahtarı uygulama dosyalarında açıkça yer aldı. Bu açık, korsanların dikkatini çekti ve anahtarı kullanarak, izinsiz olarak kullanıcılarına tehdit ve küfür içeren bildirimler gönderdiler.
API Anahtarı Nedir ve Ne İşe Yarar?
API (Application Programming Interface), farklı yazılımların birbirleriyle iletişim kurmasını sağlayan bir arayüzdür. API anahtarları, bir uygulamanın başka bir sistemle güvenli bir şekilde veri alışverişi yapabilmesi için kullanılan benzersiz kodlardır. Yaşanan olayda, bu anahtarların sızması sonucu, izinsiz mesajlar gönderildi.
Şirketler Sorunu Hızla Çözüme Kavuşturdu
Yaşanan olayın ardından, Anadolu Sigorta, HGS ve PTT gibi şirketler uygulamalarını güncelleyerek sorunu çözüme kavuşturdu. Şirketler, kullanıcılarının kişisel verilerinin güvence altında olduğunu ve herhangi bir veri sızıntısı yaşanmadığını açıkladılar. Ayrıca, bu durumun yalnızca bildirim servisiyle sınırlı kaldığı belirtildi.
Bu olay, yazılım güvenliğine verilen önemin önemini bir kez daha gözler önüne serdi. HGS ve diğer uygulamaların kullanıcıları, yaşanan güvenlik açığı yüzünden büyük bir tehlikeden son anda kurtuldular. Bu tür hataların önlenmesi için uygulama geliştiricilerinin daha dikkatli olmaları gerektiği aşikâr.
