Google, bir güvenlik araştırmacısının dikkate değer bir uyarısıyla harekete geçerek, kullanıcıların özel kurtarma telefon numaralarının ifşasına yol açabilen kritik bir hatayı düzeltme sürecine girdi.
“Brutecat” takma adıyla bilinen araştırmacı, eski bir kullanıcı adı kurtarma formunda yer alan bu güvenlik açığını Nisan ayında tespit etti ve durumu teknoloji devine aktardı.
HATA NASIL ÇALIŞIYORDU
Söz konusu güvenlik açığı, saldırganların Google’ın bot önleme sistemlerini aşmasına imkan tanıyordu.
Bu durum, kötü niyetli kişilerin otomatik komut dosyaları (script) aracılığıyla bir Google hesabına bağlı telefon numarasının tüm potansiyel kombinasyonlarını hızla denemesine olanak sağlıyordu.
Araştırmacı, bu tekniği otomatikleştirerek sadece 20 dakikadan daha kısa bir sürede hedef aldığı hesabın özel kurtarma telefon numarasını tespit etmeyi başardı.
Bu gelişme, anonim Google hesaplarının bile hedef alınan saldırılara karşı ne denli savunmasız olabileceğini gözler önüne serdi.
Google, açığı doğruladıktan sonra, bu sorunla ilgili söz konusu uç noktayı tamamen devre dışı bıraktı.
Şirket yetkilileri, hatanın düzeltildiğini ve şu an bu açık üzerinden herhangi bir doğrulanmış istismar bağlantısının mevcut olmadığını belirtti.
Ayrıca, Google, bu önemli buluşu dolayısıyla güvenlik araştırmacısı “Brutecat”e, güvenlik açığı ödül programı çerçevesinde 5 bin dolarlık bir ödül takdim etti.
Bu hadiseyle birlikte, bağımsız güvenlik araştırmacılarının dijital güvenliği sağlama konusundaki kritik rolü bir kez daha gün yüzüne çıkmış oldu.
