Google’da Yine Bir Güvenlik Açığı Alarmı: Telefon Numaranız Saniyeler İçerisinde Ele Geçirilebilirdi!
Google hesabına bağlı telefon numaralarının brute-force ataklarıyla saniyeler içinde tespit edilebildiği ortaya çıktı. Kelam konusu güvenlik açığı 14 Nisan 2025 tarihinde Google’a bildirildi. Singapur numaralarının 5 saniyede, ABD numaralarının ise yaklaşık 20 dakikada çözülebildiği belirtildi.
Google, kullanıcı hesaplarına bağlı telefon numaralarının tespit edilmesine neden olabilecek bir güvenlik açığını kapattı. Singapurlu bir araştırmacı tarafından bildirilen açık, hesap kurtarma sistemi üzerinde yapılan birtakım süreçlerle birlikte telefon numaralarının saniyeler içinde ortaya çıkarılmasına imkan tanıyordu.
Söz konusu açık, Google’ın artık kullanımda olmayan JavaScript devre dışı kullanıcı ismi kurtarma sayfasıyla ilgiliydi. Sayfa berbata kullanımı engelleyecek CAPTCHA üzere güvenlik tedbirlerinden yoksundu. Bu durum, saldırganların bir kullanıcıya ait telefon numarasının olasılıklarını süratlice deneyerek yanlışsız numaraya ulaşabilmesini mümkün kılıyordu.
Hesaba bağlı telefon numaraları tehlikedeydi
Aynı vakitte Google’ın şifre sıfırlama ekranında son iki hanesi görülebilen telefon numarası, süreci daha da kolaylaştırıyordu. Açığın istismar edilebilmesi için araştırmacı tarafından üç adımlı bir yol ortaya kondu. Birinci olarak Google Looker Studio kullanılarak amaç kullanıcının görünen ismi öğreniliyor. Akabinde şifre sıfırlama adımıyla numaranın son iki hanesi elde ediliyor. Son olarak da kullanıcı ismi kurtarma sayfası üzerinden sistematik denemelerle numaranın tamamı ortaya çıkarılabiliyor. Bu usulle Singapur numaralarının 5 saniyede, ABD numaralarının ise yaklaşık 20 dakikada çözülebildiği belirtildi.
Güvenlik açığı, 14 Nisan 2025 tarihinde Google’a bildirildi. Şirket, bu bildirime karşılık olarak 5.000 dolarlık bir ödül verdi ve 6 Haziran 2025’te ilgili kurtarma sayfasını büsbütün devre dışı bırakarak güvenlik açığını kapattı. Bu gelişme, tıpkı araştırmacının daha evvel YouTube kanal e-postalarının ve içerik üreticilerine ait bilgilerin sızdırılabildiği başka güvenlik açıklarını da ortaya koymasının akabinde geldi.
Google tarafından yapılan açıklamada, YouTube İş Ortağı Programı’ndaki kullanıcıların bilgilerinin erişim denetimi kusuru nedeniyle öteki bireyler tarafından görülebileceği ve bu durumun anonimliği zedeleyebileceği tabir edildi.
