Singapurlu Araştırmacı Google Güvenlik Açığını Keşfetti
Bir güvenlik araştırmacısı, Singapurlu bir güvenlik araştırmacısı tarafından keşfedilen bir güvenlik açığı, 14 Nisan 2025’te Google’a bildirildi. Yapılan araştırmaya göre, Google hesaplarına bağlı telefon numaraları brute-force yöntemleriyle hızla tahmin edilebiliyordu.
Araştırmaya göre, Singapur numaraları yaklaşık 5 saniyede çözülürken, ABD numaraları ise ortalama 20 dakika içinde belirlenebiliyordu. Özellikle kullanıcının adı ve numarasının son iki hanesi bilindiğinde işlem çok daha hızlı gerçekleşiyordu.
Güvenlik Zaafı JavaScript Devre Dışı Sayfada Bulundu
Güvenlik açığı, artık aktif olmayan bir JavaScript devre dışı kullanıcı adı kurtarma sayfasında bulundu. Bu sayfa, temel güvenlik önlemlerini içermediği için saldırganlar tarafından kolayca istismar edilebiliyordu. Google’ın şifre sıfırlama ekranında gösterilen numaranın son iki hanesi ise saldırıyı daha kolay hale getiriyordu.
Araştırmacının geliştirdiği üç aşamalı yöntem şu şekildedir:
- 1. Google Looker Studio ile hedef kullanıcının adı tespit ediliyor.
- 2. Şifre sıfırlama ekranı üzerinden numaranın son iki hanesi öğreniliyor.
- 3. Kurtarma sayfası üzerinden sistematik denemeler yaparak tam numara tahmin ediliyor.
Google Açığı Kapatıp Ödül Verdi
Google, güvenlik açığı hemen düzeltti ve 6 Haziran 2025’te sorumlu olan kurtarma sayfasını tamamen devre dışı bıraktı. Bu durumu bildiren araştırmacıya 5.000 dolarlık bir ödül verildi.
Bu gelişme, aynı kişinin daha önce YouTube içerik üreticileriyle ilgili başka bir güvenlik açığını keşfetmesinden sonra geldi. O zamanki açıklamada, YouTube İş Ortağı Programı kullanıcılarının bazı bilgilerinin erişim kontrol hatası nedeniyle başkaları tarafından görüntülenebileceği belirtilmişti.
