Büyük güvenlik açığı! Google'da telefon numaralarına dakikalar içinde ulaşıldığı ortaya çıktı

Singapurlu bir güvenlik araştırmacısı, Google hesaplarına bağlı telefon numaralarının brute-force yöntemleriyle kolayca tahmin edilebildiğini keşfetti. Açık, 14 Nisan 2025'te Google'a bildirildi ve araştırmacının bulgularına göre, Singapur numaraları ortalama 5 saniyede, ABD numaraları ise yaklaşık 20 dakikada çözülebiliyordu.

Güvenlik açığı, artık kullanılmayan bir JavaScript devre dışı kullanıcı adı kurtarma sayfasında bulundu. Bu sayfa, CAPTCHA gibi temel güvenlik önlemlerinden yoksundu ve saldırganlar tarafından kolayca istismar edilebiliyordu. Google'ın şifre sıfırlama ekranında gösterilen numaranın son iki hanesi de saldırıyı kolaylaştırıyordu.

Araştırmacı, üç aşamalı bir yöntem geliştirerek bu açığı kullandı. İlk olarak, Google Looker Studio ile hedef kullanıcının adı tespit ediliyor, ardından şifre sıfırlama ekranı üzerinden numaranın son iki hanesi öğreniliyor ve son olarak kurtarma sayfası üzerinden sistematik denemeler yapılarak tam numara tahmin ediliyordu.

Google, bu güvenlik açığını kapatmak için hızlı bir şekilde harekete geçti ve 6 Haziran 2025'te ilgili kurtarma sayfasını tamamen devre dışı bıraktı. Araştırmacıya ise bu önemli keşfi için 5.000 dolar ödül verildi. Bu olay, aynı araştırmacının daha önce YouTube içerik üreticilerinin hesap bilgilerini ifşa edebilen başka bir açığı ortaya çıkarmasının ardından geldi.