Singapurlu bir araştırmacı tarafından bildirilen bu açık, Google’ın hesap kurtarma sisteminde yapılan zayıf noktaları kullanarak, saniyeler içinde kullanıcıların telefon numaralarının ortaya çıkarılmasına imkan tanıyordu. Bu güvenlik açığı, özellikle eski ve kullanım dışı JavaScript devre dışı bırakılmış kullanıcı adı kurtarma sayfalarıyla ilgiliydi. Bu sayfalar, CAPTCHA gibi ek güvenlik önlemlerinden yoksundu ve bu da kötü niyetli aktörlerin kullanıcıların telefon numaralarını hızlıca deneme-yanılma yöntemiyle tespit etmelerini sağlıyordu.
Hesaba bağlı telefon numaraları, özellikle iki faktörlü doğrulama ve hesap kurtarma süreçlerinde büyük önem taşıyor. Bu açık, aynı zamanda Google’ın şifre sıfırlama ekranında gösterilen ve son iki hanesi görülebilen telefon numaralarıyla ilgili güvenlik risklerini de beraberinde getiriyordu. Bu sayede saldırganlar, kullanıcıların telefon numaralarını sistematik ve hızlı biçimde belirleyebiliyordu.
Araştırmacı tarafından önerilen üç aşamalı yöntemde ilk adım, Google Looker Studio kullanılarak hedef kullanıcının görünen adını öğrenmekti. Ardından, şifre sıfırlama adımıyla kullanıcıya ait telefon numarasının son iki hanesi elde ediliyordu. Son aşamada ise kullanıcı adı kurtarma sayfasında sistematik denemeler yapılarak, telefon numarasının tamamı ortaya çıkarılabiliyordu. Bu saldırı yöntemi sayesinde, Singapur numaralarının 5 saniye gibi çok kısa bir sürede, ABD numaralarının ise yaklaşık 20 dakika içerisinde tespit edilmesi mümkün oluyordu.
İlginç bir şekilde, bu güvenlik açığı 14 Nisan 2025 tarihinde Google’a bildirildi. Şirket, bildirime karşılık olarak 5.000 dolarlık bir ödül verdi ve 6 Haziran 2025 tarihinde ilgili kurtarma sayfasını tamamen devre dışı bırakarak güvenlik açığını ortadan kaldırdı. Bu gelişme, araştırmacının daha önce YouTube kanal e-postaları ve içerik üreticilerinin kişisel bilgilerinin sızdırılmasına neden olan başka güvenlik açıklarını da ortaya koymasının ardından gerçekleşti.
Google tarafından yapılan resmi açıklamada, YouTube İş Ortağı Programı kullanıcılarının bilgilerinin erişim kontrolü hatası nedeniyle üçüncü kişiler tarafından görülebileceği ve bu durumun kullanıcıların gizliliğini zedeleyebileceği belirtildi. Şirket, kullanıcıların güvenliği ve gizliliği adına bu tür açıkların kapatılması için sürekli çalışmalar yürütmektedir.
Bu gelişme, dijital güvenlik alanında büyük yankı uyandırdı ve kullanıcıların hesap güvenliği konusunda daha dikkatli olmaları gerektiğini bir kez daha hatırlattı. Ayrıca, güvenlik açıklarının tespiti ve kapatılması süreçlerinin ne kadar önemli olduğu ortaya çıktı.
Detaylı bilgi için aşağıdaki linke göz atabilirsiniz:
Görsel ve işitsel yapay zekâ hakkında akışkan bir inceleme: algı, kaçınılmazlık ve evrimsel bakışla yön…
Kapaklı telefonların nostaljisini yaşatırken, unutulmaz tasarımlar ve efsane modellerle altın çağını keşfedin.
PS6 beklentileri ve özellikleri üzerine güncel izlenimler: yayınlanmaya hazırlanan nesle dair güçlü bir önizleme ve…
Gmail ile tek tıklamada abonelikten çıkın: kolay adımlar, güvenli işlem ve temiz bir gelen kutusu…
Üniversite öğrencileri için ÖTV muafiyetindeki yeni taslak ve fiyat etkilerini inceleyen kapsamlı rehber.
İtiraf Modülüyle yapay zekada şeffaflığı artırın: Yanıltıcı içeriklere karşı açık dürüstlük sistemiyle güvenilir bilgiye hızlı…