Google, özel telefon numaralarını ifşa eden hatayı düzeltti

Google, bir güvenlik araştırmacısının uyarısıyla harekete geçerek, kullanıcıların özel kurtarma telefon numaralarını açığa çıkarabilen kritik bir hatayı düzeltti.

“Brutecat” olarak bilinen araştırmacı, eski bir kullanıcı adı kurtarma formundaki bu açığı nisan ayında tespit ederek teknoloji devine bildirmişti.

HATA NASIL ÇALIŞIYORDU

Söz konusu Google güvenlik açığı, saldırganların Google’ın bot önleme mekanizmalarını aşmasına olanak tanıyordu.

Bu sayede saldırganlar, otomatik komut dosyaları (script) kullanarak bir Google hesabıyla ilişkili telefon numarasının tüm olası kombinasyonlarını hızla deneyebiliyordu.

Araştırmacı, bu yöntemi otomatikleştirerek 20 dakikadan daha kısa bir sürede hedeflenen bir hesabın özel kurtarma telefon numarasını tespit etmeyi başardı.

Bu durum, anonim Google hesaplarının bile hedefli saldırılara karşı ne kadar savunmasız olabileceğini gösterdi.

Google, güvenlik açığını doğruladıktan sonra sorunu çözmek için söz konusu uç noktayı tamamen devre dışı bıraktı.

Şirket sözcüsü, hatanın düzeltildiğini ve şu anda bu açıktan yararlanıldığına dair “herhangi bir doğrulanmış, doğrudan istismar bağlantısı” görmediklerini belirtti.

Google, bu önemli keşfi nedeniyle güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı kapsamında 5 bin dolarlık bir ödül verdi.

Bu olay, bağımsız güvenlik araştırmacılarının dijital güvenliği sağlamadaki kritik rolünü bir kez daha ortaya koydu.