Google, kullanıcı hesaplarına bağlı telefon numaralarının tespit edilmesine neden olabilecek bir güvenlik açığını kapattı. Singapurlu bir araştırmacı tarafından bildirilen açık, hesap kurtarma sistemi üzerinde yapılan kimi süreçlerle birlikte telefon numaralarının saniyeler içinde ortaya çıkarılmasına imkan tanıyordu.
Söz konusu açık, Google’ın artık kullanımda olmayan JavaScript devre dışı kullanıcı ismi kurtarma sayfasıyla ilgiliydi. Sayfa berbata kullanımı engelleyecek CAPTCHA üzere güvenlik tedbirlerinden yoksundu. Bu durum, saldırganların bir kullanıcıya ait telefon numarasının olasılıklarını süratlice deneyerek hakikat numaraya ulaşabilmesini mümkün kılıyordu.
Hesaba bağlı telefon numaraları tehlikedeydi
Aynı vakitte Google’ın şifre sıfırlama ekranında son iki hanesi görülebilen telefon numarası, süreci daha da kolaylaştırıyordu. Açığın istismar edilebilmesi için araştırmacı tarafından üç adımlı bir yol ortaya kondu. Birinci olarak Google Looker Studio kullanılarak gaye kullanıcının görünen ismi öğreniliyor. Akabinde şifre sıfırlama adımıyla numaranın son iki hanesi elde ediliyor. Son olarak da kullanıcı ismi kurtarma sayfası üzerinden sistematik denemelerle numaranın tamamı ortaya çıkarılabiliyor. Bu yolla Singapur numaralarının 5 saniyede, ABD numaralarının ise yaklaşık 20 dakikada çözülebildiği belirtildi.
Güvenlik açığı, 14 Nisan 2025 tarihinde Google’a bildirildi. Şirket, bu bildirime karşılık olarak 5.000 dolarlık bir ödül verdi ve 6 Haziran 2025’te ilgili kurtarma sayfasını büsbütün devre dışı bırakarak güvenlik açığını kapattı. Bu gelişme, birebir araştırmacının daha evvel YouTube kanal e-postalarının ve içerik üreticilerine ait bilgilerin sızdırılabildiği başka güvenlik açıklarını da ortaya koymasının akabinde geldi.
Google tarafından yapılan açıklamada, YouTube İş Ortağı Programı’ndaki kullanıcıların bilgilerinin erişim denetimi yanılgısı nedeniyle diğer şahıslar tarafından görülebileceği ve bu durumun anonimliği zedeleyebileceği tabir edildi.
