HGS Mobil Uygulaması Nasıl Hacklendi?

Dün akşam HGS mobil uygulamasından insanlara saçma sapan bildirimler geldi. Peki bu olay nasıl meydana gelebildi?
HGS Mobil Uygulaması Nasıl Hacklendi?

mobil uygulamalarda push bildirimlerini göndermek için genelde bir api (uygulama programlama arayüzü) veya üçüncü taraf bir hizmet (örn. firebase cloud messaging, onesignal) kullanılır. (hgs uygulaması, onesignal kullanıyor.)

push bildirim sistemine erişim sağlamak için aşağıdaki yöntemler denenebilir

api anahtarının çalınması: eğer api anahtarı uygulama içinden düzgün bir şekilde gizlenmemişse, uygulamanın tersine mühendislik yoluyla anahtara ulaşılabilir.

veri tabanı ele geçirme: şirketin backend sunucusunda saklanan push bildirim anahtarlarına veya izinlerine erişim sağlanabilir. (buna pek imkan vermiyorum)

yetkilendirme açıkları: eğer push bildirim api'si yeterince güvenli değilse (örneğin, herhangi bir kimlik doğrulama mekanizması olmadan erişime açık bırakılmışsa), saldırgan kolayca sistemi manipüle edebilir.

saldırının arkasında yatan olası güvenlik açıkları neler olabilir?

kodlama hataları: api anahtarlarının yanlış yönetimi veya güvenlik önlemlerinin eksikliği. (+)

yetersiz yetkilendirme: push bildirim api'sine erişim için zayıf kimlik doğrulama mekanizmaları. (işte bu çok mümkün)

veritabanı güvenliği: zayıf şifreleme veya erişim kontrolü. (buradan olduğunu sanmıyorum)

üçüncü taraf entegrasyonları: push hizmeti sağlayan üçüncü taraf servislerdeki güvenlik açıkları. (google kullanılıyorsa bu da zor. one signal kullanılıyorsa böylesine büyük kurumlar nasıl bu kadar basit hata yapar?)

ptt'nin konuyla ilgili yaptığı açıklama