Google, bir güvenlik araştırmacısının dikkat çekmesiyle, kullanıcıların gizli kurtarma telefon numaralarını açığa çıkarabilen ciddi bir güvenlik açığını giderdi.
“Brutecat” olarak bilinen araştırmacı, bu sorunu nisan ayında, eski bir kullanıcı adı kurtarma formunda tespit ederek teknoloji devine bildirdi.
HATA NASIL ÇALIŞIYORDU
Bahsedilen güvenlik açığı, kötü niyetli kişilerin Google’ın bot önleme önlemlerini aşmasını sağlıyordu.
Bu sayede, saldırganlar otomatik komut dosyaları (script) kullanarak bir Google hesabıyla ilişkili telefon numarasının tüm olası kombinasyonlarını hızla deneyebiliyorlardı.
Araştırmacı, bu yöntemi otomatikleştirerek 20 dakikadan daha kısa bir sürede hedeflenen bir hesabın gizli kurtarma telefon numarasını bulmayı başardı.
Bu durum, anonim Google hesaplarının bile hedefli saldırılara karşı ne denli savunmasız olabileceğini gözler önüne serdi.
Google, güvenlik açığını doğruladıktan sonra, bu sorunu gidermek amacıyla söz konusu uç noktayı tamamen devre dışı bıraktı.
Şirketin bir sözcüsü, hatanın düzeltildiğini ve bu açık üzerinden gerçekleştirildiğine dair “herhangi bir doğrulanmış, doğrudan istismar bağlantısı” bulmadıklarını ifade etti.
Google, bu önemli buluş nedeniyle güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı kapsamında 5 bin dolarlık bir ödül sundu.
Bu durum, bağımsız güvenlik araştırmacılarının dijital güvenliği sağlama konusundaki önemli rolünü bir kez daha vurguladı.
