Google, bir güvenlik araştırmacısının ihbarı üzerine önemli bir açığı kapatarak kullanıcılarının özel kurtarma telefon numaralarının ifşa olmasını engelledi.
“Brutecat” adıyla bilinen güvenlik araştırmacısı, eski bir kullanıcı adı kurtarma formunda bulunan bu sorunu nisan ayında tespit etmiş ve durumu teknoloji devine bildirmişti.
HATA NASIL ÇALIŞIYORDU
Belirtilen güvenlik açığı, kötü niyetli kişilerin Google’ın bot önleme sistemlerini aşmasına izin veriyordu.
Bu sayede saldırganlar, otomatik komut dosyaları kullanarak, bir Google hesabıyla ilişkilendirilen telefon numarasının tüm olası kombinasyonlarını hızla deneme imkanı bulabiliyordu.
Araştırmacı, bu tekniği otomatik hale getirerek, hedeflenen bir hesabın özel kurtarma telefon numarasını 20 dakikadan daha kısa bir sürede tespit etmeyi başardı.
Bu durum, anonim Google hesaplarının bile saldırılara karşı ne denli savunmasız olduğunu gözler önüne serdi.
Google, bu güvenlik açığını doğruladıktan sonra sorunun çözülmesi için bahsi geçen uç noktayı tamamen devre dışı bıraktı.
Şirket sözcüsü, hatanın giderildiğini ve bu açıktan yararlanıldığına dair “herhangi bir doğrulanmış, doğrudan istismar bağlantısı” tespit edilmediğini açıkladı.
Google, bu önemli keşiften dolayı güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı kapsamında 5 bin dolarlık bir ödül takdim etti.
Bu olay, bağımsız güvenlik araştırmacılarının dijital güvenliği sağlamadaki kritik önemini bir kez daha vurguladı.
