İki adımlı doğrulama Telegram'da kullanıcıların verilerini nasıl korur?

Birçok müşterinin SMS koduna dayalı tek faktörlü doğrulamadan memnuniyetsizliğini göz önünde bulundurarak, ünlü mesajlaşma programının geliştiricileri ikinci kimlik kontrol faktörünü ekledi. Bu makalede, Telegram'da iki aşamalı doğrulama ve müşterilerin bilgi güvenliği açısından güvenilirliği hakkında konuşacağız.  

İki veri güvenliği faktörü

Nisan 2015'e kadar, bir kullanıcı kısa mesajla gelen bir kodu girerek sisteme giriş yapabiliyordu. Aynı zamanda, yetkisiz girişe karşı ek bir koruma mevcut değildi. Bu şekilde, saldırganlar bir müşterinin telefonuna gönderilen bir mesajı ele geçirebilir ve konuşmalarına erişebilirdi. Bu tür saldırıların kaydedildiği toplu vakalar olmamasına rağmen, Pavel Durov başkanlığındaki geliştiriciler bu olasılığı ortadan kaldırmaya karar verdi.   Telegram'da iki aşamalı doğrulamanın uygulanması nedeniyle, bugün bir kullanıcı yeni bir cihazda bir uygulama açılması durumunda girilebilecek ek bir şifre belirleyebilir. Ayrıca, sisteme girişin ilk aşamasında gerçekleştirilen SMS doğrulaması hala devam etmektedir.     İki adımlı oturum açma aşağıdaki şekilde gerçekleştirilir:

1. Verilen uygulamaya giriş yaparken, bir müşteri telefon numarasını girer.
2. Ayrıca, ilgili alana girilmesi gereken bir doğrulama kodu içeren bir kısa mesaj alır.
3. Doğruysa, bir müşteri şifresini girmek için bir alan görecektir (kayıt aşamasında kendi başına bir sembol kombinasyonu seçer).
4. Doğru kombinasyon durumunda, kullanıcı sayfasına erişim elde eder.

 

İki adımlı doğrulama, hesap korsanlığı söz konusu olduğunda yardımcı olur mu?

İlk bakışta, verilen yenilik Telegram sunucularında güvenli bilgi depolamak için çok kullanışlıdır. Ancak, uygulamanın gösterdiği gibi, iki doğrulama faktörüne rağmen hala hesap hackleme olasılığı vardır. İşte nasıl çalıştığı:

1. Davetsiz bir misafir kurbanının telefon numarasını girer ve kimlik doğrulama için bir talep gönderir.
2. Kurban, bir saldırgan tarafından bilinen bir doğrulama kodu alır (SMS müdahalesinin bir olasılığı, bir bilgisayar korsanının bir mobil ağ operatörünün teknik desteğine girmesidir).
3. Davetsiz bir misafir alınan numaraları girer ve şifre giriş sayfasına erişim sağlar.
4. Unutkanlık bahanesiyle, bir saldırgan ilgili "Şifremi Unuttum?" bağlantısına basar ve kayıt sırasında belirtilen bir e-posta adresine bir kurtarma kodu gönderme bildirimi alır.
5. Davetsiz misafirin kurbanının e-posta hesabına giriş yapma şansı olmadığından, "E-postanıza erişmekte sorun mu yaşıyorsunuz?" bağlantısına basar ve sorun yaşadığını belirtir
.
6. Sistem, tüm konuşmaları silerek tam bir hesap sıfırlama gerçekleştirmesini önerir. Bir bilgisayar korsanı bu koşulları kabul eder ve kurbanının hesabına erişimin yanı sıra onun adına mesaj gönderme imkanı elde eder.

    Aslında, iki aşamalı güvenliği etkisiz hale getirmek için, bir kurbanın telefon numarasına gönderilen SMS kodunu öğrenmek yeterlidir. Aradaki fark nihai sonuçta ortaya çıkmaktadır. Bu durumda, bir bilgisayar korsanı boş bir sayfaya erişebilirken, tek faktörlü güvenlik korsanlığı tüm konuşmaları okumaya izin verir.  

Tanınmış kişilerin hesap sıfırlama vakaları

Nisan 2016'da Georgy Alburov (Yolsuzlukla Mücadele Vakfı) ve Oleg Kozlovskiy'e ("Vision of Tomorrow" adlı kar amacı gütmeyen kuruluş) ait Telegram hesapları neredeyse eş zamanlı olarak hacklendi. Alburov ve Kozlovskiyʼin akıllı telefonlarında SMS alma ve gönderme seçeneğinin devre dışı bırakılması sonucunda sayfalarına yetkisiz erişim sağlanması ilginçtir. Ayrıca, bir mobil şebeke operatörünün (MTS) temsilcileri, teknik destek ekiplerinin verilen telefon numaralarındaki hizmetleri devre dışı bırakmadığını ve iletişim sorunlarının bir virüs saldırısından kaynaklandığını belirtti.   Üç ay sonra benzer bir sorun Rus gazeteci Sergey Parkhomenko'nun başına geldi. Kendi ifadesine göre, doğrulama numaralarını içeren kısa mesajlar aldı. Profiline giriş yapmaya çalışırken, gazeteciye sanki hizmeti ilk kez ziyaret ediyormuş gibi oturum açması teklif edildi. Sergey hesabını açtığında, hesabının sıfırlandığını ve tüm mesaj geçmişinin silindiğini öğrendi. Böylece, iki aşamalı doğrulama bile işe yaramadı, çünkü bilgisayar korsanları bir mobil ağ operatöründen gerekli verileri almayı başarmıştı.  

Telegram'da iki adımlı doğrulamayı ayarlamak için adım adım talimat

Yeni bir cihazdan bir uygulamaya giriş yaptığınızda sistemin hem SMS kodu hem de şifre istemesini istiyorsanız, aşağıdaki prosedürü uygulamanız gerekir:

1. Ayarlara girin ve "Gizlilik ve Güvenlik "i seçin
2. Daha sonra "Güvenlik" adlı bir alt bölümde "İki Adımlı Doğrulama" satırını bulmanız ve tıklamanız gerekir. Ayrıca, bir satır aşağıda "Aktif Oturumlar" bölümü de bulunmaktadır. Tüm oturumları görüntülemek ve ihtiyaç duyulduğunda diğer cihazlarda açılmış olanları kapatmak istiyorsanız yardımcı olacaktır.
3. Ayrıca, şifre giriş alanının bulunduğu bir sayfa açılacaktır. Seçtiğiniz kombinasyonun büyük ve küçük harflere sahip rakamlar ve semboller içermesi arzu edilir.  
4. Şifrenizi girdikten sonra, hataları ortadan kaldırmak için onaylamanız gerekir.
5. Sizi unutkanlıktan korumak için, hizmet size düşüncelerinizi doğru yöne yönlendirecek ve gerekli sembol kombinasyonunu hatırlamanıza yardımcı olacak bir şifre ipucu sunar.
6. Bir sonraki aşama, şifre kurtarma prosedürünü gerçekleştirmek için gerekli olan e-posta adresinizi girmeyi içerir. Bu adımı atlayabilirsiniz, ancak bir şifre ipucu yardımıyla bile ilk kombinasyonu hatırlayamamanız durumunda sisteme giriş yapmanın tek yolunun bu olduğunu unutmamalısınız.  
7. Daha sonra değişiklikleri onaylamanız için size bir bağlantı e-postası gönderilecektir. Bu bağlantıya tıkladığınızda, söz konusu hesap için iki adımlı doğrulamanın etkinleştirildiğini bildiren bir mesaj göreceksiniz.

  Bu talimat tüm Telegram platformları için uygundur. Yeni ayarların etkili olduğundan emin olmak için, başka bir cihazdan bir messenger'da oturum açmayı denemeniz gerekir. SMS kodunu girdikten sonra sistem bir şifre isterse, bu kimlik doğrulamanın doğru çalıştığı anlamına gelir.  

Ek "Parola" seçeneği

"Parola" bölümü, iOS ve Android için en son Telegram güncellemelerinden birinde ortaya çıktı. Verilen seçenek, bir uygulamada oturum açmak için güvenlik ayarlamasına izin verir. Kod hem 4 rakamdan oluşan basit bir kombinasyon hem de harfler ve diğer sembolleri içeren daha karmaşık bir kombinasyon içerebilir.   Bu tür bir güvenliğin gerçekleştirilmesi yeterince esnektir. Bir kullanıcı, her Telegram geçişinde kod isteme seçeneğini etkinleştirebilir veya yalnızca gerektiğinde kilide benzeyen özel bir simgeye tıklayarak etkinleştirebilir. İkinci varyant, telefonunuzu geçici olarak elinizden bırakmanız ve konuşmalarınızın bir yabancıya açık olma ihtimali olması durumunda çok kullanışlıdır.   Ayrıca, bir uygulamayı kilitleyecek ve belirli bir süre boyunca hareketsizlik durumunda bir kod talep edecek bir otomatik kilit zamanlayıcısı ayarlama imkanı da vardır. Sistem, 1 ve 5 dakika veya 1 ve 5 saat içinde bir kilidin etkinleştirilmesine izin verir.    

Geliştiricilerin yanıtı

Pavel Durov tarafından açıklandığı üzere, messenger güvenliği ile ilgili herhangi bir sorun yoktu. Dahası, uygulamanın hacklenmesi suçunu MTS Şirketine yükledi. Bununla birlikte, destek ekibi, şifrenin unutulması durumunda aktif bir profil sıfırlama olasılığını geçici olarak devre dışı bıraktı. Başka bir deyişle, Durov aslında sorunun varlığını kabul etti ve mümkün olan en kısa sürede daha zarif bir şekilde çözeceğine söz verdi.     Ağustos 2016 sonu itibariyle, hesap hackleme hala mümkündür: müşterinin SMS kodunu aldıktan sonra, bir bilgisayar korsanı oturum açma şifresini kullanmadan profilini sıfırlayabilir. Başka bir deyişle, iki adımlı doğrulama çalışmıyor ya da Telegram kullanıcılarının olmasını istediği kadar güvenli değil.