Google Hesapları Tehlikede: Özel Telefon Numaraları Açığa Çıkabilir
Bir güvenlik araştırmacısı, neredeyse her Google hesabının özel kurtarma telefon numarasını ifşa edebilecek bir açık keşfetti. Bu açığın kötüye kullanılması, kullanıcıları ciddi gizlilik ve güvenlik risklerine maruz bırakabilir.
Google, TechCrunch’a, araştırmacının bu durumu Nisan ayında bildirmesi üzerine açığı kapattığını doğruladı.
Açığın Detayları ve Saldırı Zinciri
Bağımsız araştırmacı olan brutecat, bulgularını blogunda paylaşarak TechCrunch’a açıkladı. Araştırmacı, Google’ın hesap kurtarma özelliğindeki bir açığı kullanarak bir Google hesabının kurtarma telefon numarasını elde edebildiğini belirtti.
Bu saldırı, bir dizi işlemden oluşan bir “saldırı zincirine” dayanıyordu. Hedef hesabın tam ekran adını sızdırmak ve Google’ın şifre sıfırlama taleplerini kötüye kullanımına karşı uyguladığı anti-bot koruma mekanizmasını aşmak gerekti. Bu aşmayı geçmek, araştırmacının bir Google hesabının telefon numarasının her olası kombinasyonunu belirlemesini sağladı.
Araştırmacı, bu saldırı zincirini bir script ile otomatikleştirerek, bir Google hesabının kurtarma telefon numarasını 20 dakikadan kısa bir sürede brute-force (kaba kuvvet) yöntemiyle belirleyebileceğini ifade etti.
Bir Deney: Kayıtlı Numarayı Açığa Çıkarmak
TechCrunch, yeni bir Google hesabı açarak daha önce kullanılmamış bir telefon numarası tanımladı. Ardından brutecat’tan, bu hesabın e-posta adresini vererek bir deneme yapmasını istedi.
Bir süre sonra, brutecat mesaj göndererek belirlediğimiz telefon numarasını iletti. “Bingo :),” dedi araştırmacı.
Özel kurtarma telefon numarasının ifşa edilmesi, anonim olan Google hesaplarını bile hedef alabilecek saldırılara kapı açabilir. Bir kişinin Google hesabıyla ilişkilendirilmiş özel bir telefon numarasını belirlemek, haftalık SIM takası gibi saldırılara zemin hazırlayabilir. Bir saldırgan, kontrolünü eline geçirdiği telefon numarasıyla ilişkili olan herhangi bir hesabın şifresini sıfırlamak için o numaraya gönderilen şifre sıfırlama kodlarını alabilir.
Bu tür bir durumun kamu güvenliği açısından taşıdığı risk nedeniyle, TechCrunch bu haberin yayınlanmasını açık kapatılana kadar ertelemeyi kabul etti.
Google’dan Açıklama ve Ödül
Google sözcüsü Kimberly Samra, TechCrunch’a yaptığı açıklamada, “Bu sorun çözüldü. Güvenlik araştırma topluluğu ile iş birliği yapmanın önemini her zaman vurguladık. Bu sorunu bildirdiği için araştırmacıya teşekkür ederiz.” dedi. Samra, araştırma gönderimlerinin kullanıcılarımızın güvenliği için sorunları hızla tespit etmemize ve düzeltmemize yardımcı olan birçok yoldan biri olduğunu belirtti.
Samra ayrıca, bu durumla ilgili şu ana dek “hiçbir onaylanmış, doğrudan bir istismar bağlantısı” görülmediğini sözlerine ekledi.
Brutecat ise bulgusu için Google’ın 5,000 dolar değerinde bir ödül ödediğini açıkladı.
