Google, kullanıcıların hesap kurtarma amacıyla tanımladığı telefon numaralarının izinsiz biçimde ele geçirilmesine yol açabilecek ciddi bir güvenlik açığını giderdiğini açıkladı. Şirket, açığın kapatıldığını ve şu ana kadar kötüye kullanımına dair bir bulguya rastlanmadığını duyurdu.
Açık, Nisan ayında “Brutecat” takma adıyla bilinen bağımsız bir güvenlik araştırmacısı tarafından keşfedildi. Araştırmaya göre zafiyet, Google’ın hesap kurtarma mekanizmasındaki bir zayıflıktan faydalanarak otomatik betikler aracılığıyla kullanıcıların kurtarma telefon numaralarının 20 dakikadan kısa sürede tespit edilmesini mümkün kılıyordu. Bu bilgiler, özellikle SIM kart takası gibi saldırı yöntemleriyle hesapların ele geçirilmesi riskini artırabiliyordu.
Söz konusu açığın temelinde, Google’ın anti-bot koruma sistemlerinin belirli durumlarda aşılabilmesi yatıyordu. Araştırmacı, bu durumu tespit ettikten sonra açığı Google’a bildirdi. Google, güvenlik açığı bildirimi karşılığında araştırmacıya 5 bin dolar ödül verdi.
Google hesapları, dünya genelinde milyarlarca kullanıcıya ait verileri barındırıyor ve bu hesaplara bağlı kurtarma telefon numaraları, şifre sıfırlama gibi kritik işlemler için ek bir güvenlik katmanı sağlıyor. Bu nedenle söz konusu açığın istismar edilmesi durumunda, kullanıcıların hesap güvenliği ciddi biçimde tehlikeye girebiliyordu.
Şirket, güvenlik açıklarını tespit eden araştırmacılarla iş birliği yaparak bu tür zafiyetlerin önüne geçmeyi sürdürüyor. Uzmanlar ise kullanıcıların hesaplarına yönelik ek güvenlik katmanlarını –örneğin iki aşamalı kimlik doğrulamayı– aktif hale getirmelerini öneriyor.