Google, bir güvenlik araştırmacısının tespit ettiği önemli bir açığı kapatmak üzere harekete geçti. Bu hata, kullanıcıların özel kurtarma telefon numaralarının ifşa olmasına neden olabiliyordu.
“Brutecat” olarak bilinen güvenlik araştırmacısı, nisan ayında eski bir kullanıcı adı kurtarma formunda bu açığı keşfetmiş ve durumu teknoloji deviyle paylaşmıştı.
HATA NASIL İŞLEYEBİLDİ?
Söz konusu güvenlik açığı, saldırganların Google’ın bot koruma sistemlerini aşmasına olanak tanıyordu.
Böylece saldırganlar, otomatik komut dosyası (script) kullanarak bir Google hesabına bağlı telefon numarasının tüm mümkün kombinasyonlarını hızlıca test edebiliyordu.
Araştırmacı, bu yöntemi otomatikleştirerek sadece 20 dakikadan daha kısa bir sürede hedef bir hesabın özel kurtarma telefon numarasını bulmayı başardı.
Bu durum, anonim Google hesaplarının bile hedefli saldırılara karşı ne denli savunmasız olduğunu gözler önüne serdi.
Google, güvenlik açığını tespit ettikten sonra sorunun çözümü için bu belirli uç noktayı tamamen kapattı.
Şirketin sözcüsü, hatanın düzeltildiğini ve bu açığın kötüye kullanıldığına dair herhangi bir “doğrulanmış, doğrudan istismar bağlantısı” tespit etmediklerini ifade etti.
Google, bu önemli keşif nedeniyle güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı kapsamında 5 bin dolarlık bir ödül verilmiştir.
Bu olay, bağımsız güvenlik araştırmacılarının dijital güvenliğin sağlanmasındaki kritik rolünü bir kez daha vurgulamaktadır.
