Google, kullanıcı hesaplarına bağlı telefon numaralarının tespit edilmesine neden olabilecek bir güvenlik açığını kapattı. Singapurlu bir araştırmacı tarafından bildirilen açık, hesap kurtarma sistemi üzerinde yapılan bazı işlemlerle birlikte telefon numaralarının saniyeler içinde ortaya çıkarılmasına olanak tanıyordu.
Söz konusu açık, Google’ın artık kullanımda olmayan JavaScript devre dışı kullanıcı adı kurtarma sayfasıyla ilgiliydi. Sayfa kötüye kullanımı engelleyecek CAPTCHA gibi güvenlik önlemlerinden yoksundu. Bu durum, saldırganların bir kullanıcıya ait telefon numarasının olasılıklarını hızlıca deneyerek doğru numaraya ulaşabilmesini mümkün kılıyordu.
Aynı zamanda Google’ın şifre sıfırlama ekranında son iki hanesi görülebilen telefon numarası, süreci daha da kolaylaştırıyordu. Açığın istismar edilebilmesi için araştırmacı tarafından üç adımlı bir yöntem ortaya kondu. İlk olarak Google Looker Studio kullanılarak hedef kullanıcının görünen adı öğreniliyor. Ardından şifre sıfırlama adımıyla numaranın son iki hanesi elde ediliyor. Son olarak da kullanıcı adı kurtarma sayfası üzerinden sistematik denemelerle numaranın tamamı ortaya çıkarılabiliyor. Bu yöntemle Singapur numaralarının 5 saniyede, ABD numaralarının ise yaklaşık 20 dakikada çözülebildiği belirtildi.
Güvenlik açığı, 14 Nisan 2025 tarihinde Google’a bildirildi. Şirket, bu bildirime karşılık olarak 5.000 dolarlık bir ödül verdi ve 6 Haziran 2025’te ilgili kurtarma sayfasını tamamen devre dışı bırakarak güvenlik açığını kapattı. Bu gelişme, aynı araştırmacının daha önce YouTube kanal e-postalarının ve içerik üreticilerine ait bilgilerin sızdırılabildiği başka güvenlik açıklarını da ortaya koymasının ardından geldi.
Google tarafından yapılan açıklamada, YouTube İş Ortağı Programı’ndaki kullanıcıların bilgilerinin erişim kontrolü hatası nedeniyle başka kişiler tarafından görülebileceği ve bu durumun anonimliği zedeleyebileceği ifade edildi.
Yorumlar (0)