Google, bir güvenlik araştırmacısının dikkat çekmesi üzerine harekete geçerek, kullanıcıların özel kurtarma telefon numaralarını ifşa edebilen kritik bir hatayı düzeltti.
“Brutecat” adlı araştırmacı, eski bir kullanıcı adı kurtarma formundaki açığı nisan ayında tespit ederek bu durumu teknoloji devine bildirdi.
HATA NASIL ÇALIŞIYORDU
Belirtilen güvenlik açığı, saldırganların Google’ın bot önleme mekanizmalarını aşarak kullanıcı hesaplarına yönelik saldırılar düzenlemesine olanak sağlıyordu.
Bu yöntemle, saldırganlar otomatik komut dosyaları (script) kullanarak belirli bir Google hesabıyla ilişkilendirilen telefon numarasının tüm olası kombinasyonlarını hızlı bir şekilde deneyebiliyordu.
Araştırmacı, bu işlemi otomatikleştirerek hedef alınan bir hesabın özel kurtarma telefon numarasını 20 dakikadan kısa bir sürede ortaya çıkarmayı başardı.
Bu durum, anonim Google hesaplarının bile hedefli saldırılara karşı ne denli hassas durumda olabileceğini gözler önüne serdi.
Google, güvenlik açığının doğrulanmasının ardından sorunu çözmek amacıyla ilgili uç noktayı tamamen devre dışı bıraktı.
Şirket sözcüsü, hatanın düzeltildiğini ve şu an için bu açık üzerinden gerçekleştirildiğine dair herhangi bir “doğrulanmış istismar bağlantısı” görmediklerini ifade etti.
Bu önemli keşfi nedeniyle Google, güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı çerçevesinde 5 bin dolarlık bir ödül takdim etti.
Olay, bağımsız güvenlik araştırmacılarının dijital güvenliğin sağlanmasındaki hayati rolünü bir kez daha gözler önüne sermiştir.
