Google Özel Kurtarma Telefon Numaralarını İfşa Eden Hatasını Düzeltti
Google, bir güvenlik araştırmacısının uyarısıyla harekete geçerek, kullanıcıların özel kurtarma telefon numaralarını açığa çıkarabilen kritik bir hatayı düzeltti.
“Brutecat” olarak bilinen araştırmacı, eski bir kullanıcı adı kurtarma formundaki bu açığı nisan ayında tespit ederek teknoloji devine bildirmişti.
Saldırganlar güvenlik açığını kullandı
Söz konusu Google güvenlik açığı, saldırganların Google’ın bot önleme mekanizmalarını aşmasına olanak tanıyordu.
Bu sayede saldırganlar, otomatik komut dosyaları (script) kullanarak bir Google hesabıyla ilişkili telefon numarasının tüm olası kombinasyonlarını hızla deneyebiliyordu.
- Araştırmacı, bu yöntemi otomatikleştirerek 20 dakikadan daha kısa bir sürede hedeflenen bir hesabın özel kurtarma telefon numarasını tespit etmeyi başardı.
Bu durum, anonim Google hesaplarının bile hedefli saldırılara karşı ne kadar savunmasız olabileceğini gösterdi.
Tamamen devre dışı bırakıldı
Google, güvenlik açığını doğruladıktan sonra sorunu çözmek için söz konusu uç noktayı tamamen devre dışı bıraktı.
Şirket sözcüsü, hatanın düzeltildiğini ve şu anda bu açıktan yararlanıldığına dair “herhangi bir doğrulanmış, doğrudan istismar bağlantısı” görmediklerini belirtti.
Google, bu önemli keşfi nedeniyle güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı kapsamında 5 bin dolarlık bir ödül verdi.
