Dünyanın önde gelen video platformlarından YouTube, önemli bir güvenlik açığı ile karşı karşıya kaldı.
Brutecat isimli bir güvenlik araştırmacısı tarafından tespit edilen bu açık, kötü niyetli kişilerin milyarlarca YouTube kullanıcısının e-posta adreslerine ulaşmasını mümkün kılıyordu.
Açığın Keşfi
Brutecat, YouTube’un API’lerinde yaptığı analizler sırasında bu güvenlik zafiyetini fark etti. Kullanıcıların engellenmesi durumunda, sistemin Google hesap kimliğini (GAIA ID) sızdırdığını gözlemledi.
Bu kimlik, eski Google Pixel telefonlarındaki bir uygulama yardımıyla e-posta adresine dönüştürülebiliyordu.
Google’dan Hızlı Müdahale
Açığın kesin olarak Google’a bildirildiği andan itibaren gerekli önlemler alındı ve hemen kapatıldı. Şirket, açığın kötüye kullanıldığına dair herhangi bir bulgu bulunmadığını ifade etti.
Ancak bu durum, milyarlarca kullanıcının e-posta adreslerinin tehlikede olduğu gerçeğini değiştirmiyor. E-posta adreslerinin ele geçirilmesi, kullanıcıları kimlik avı ve sosyal mühendislik saldırılarına karşı savunmasız hale getirebilir.
Kötü niyetli kişiler, çalınan e-posta adreslerini kullanarak kullanıcıları yanıltma ve kişisel bilgilerini ele geçirme girişiminde bulunabilir.
Brutecat’a Ödül
Google, bu açığı ortaya çıkaran Brutecat’a 10 bin 633 dolar ödül vererek teşekkür etti. Şirket, güvenlik açıklarını rapor eden araştırmacıları ödüllendirerek platformlarının güvenliğini artırmayı amaçlıyor.
Bu tür güvenlik boşluklarına karşı kişisel korunmanın en etkin yolu, güçlü parolalar oluşturmak ve şüpheli e-postalara karşı dikkatli olmaktır. Ek güvenlik önlemleri arasında ise, iki faktörlü kimlik doğrulama gibi yöntemlerin kullanılması önerilmektedir.
