Google, bir hesabın kurtarma telefon numarasını kabartmayı mümkün kılan ve potansiyel olarak gizlilik ve güvenlik risklerine maruz bırakmayı mümkün kılan bir güvenlik kusurunu ele almak için adım attı.
Singapur güvenlik araştırmacısı “Brutecat” a göre sorun, şirketin hesap kurtarma özelliğinde bir sorundan yararlanıyor.
Bununla birlikte, güvenlik açığından yararlanmak, birkaç hareketli parçaya bağlıdır, özellikle Google Kullanıcı Adı Kurtarma Formunun (“Hesaplar.Google[.]com/signin/usernamerecovery “) spam taleplerini önlemek için tasarlanmış istismar karşıtı korumalardan yoksundur.
Söz konusu sayfa, kullanıcıların bir kurtarma e -postasının veya telefon numarasının belirli bir görüntüleme adıyla (örneğin, “John Smith”) ilişkili olup olmadığını kontrol etmelerine yardımcı olmak için tasarlanmıştır.
Ancak captcha tabanlı oran sınırını atlatmak, bir Google hesabının telefon numarasının tüm permütasyonlarını kısa bir süre içinde denemeyi ve telefon numarasının uzunluğuna (ülkeden ülkeye değişen) bağlı olarak doğru basamaklara ulaşmayı mümkün kıldı.
Bir saldırgan, bir kurbanın telefon numarasıyla ilişkili ülke kodunu bulmak için Google’ın unutmuş şifre akışından da yararlanabilir, ayrıca bir Looker Studio belgesi oluşturarak ve sahipliği kurbana aktararak ekran adlarını elde edebilir ve bu da tam adlarının ana sayfada sızdırılmasına neden olabilir.
Toplamda, istismar aşağıdaki adımların gerçekleştirilmesini gerektirir –
- Looker Studio aracılığıyla Google Hesap Ekran Adını Sızın
- Saldırgana görüntülenen son 2 hane ile maskelenmiş telefon numarasını almak için bir hedef e -posta adresi için Parola akışını çalıştırın (örn. •• •••••• 03)
- Telefon numarasını, telefon numarasını kaba çalıştırmak için kullanıcı adı kurtarma uç noktasına karşı kaba çalışır
Brutecat, Singapur tabanlı bir sayının 5 saniyede yukarıda belirtilen teknik kullanılarak sızdırılabileceğini, bir ABD sayısının yaklaşık 20 dakika içinde maskelenemeyeceğini söyledi.
https://www.youtube.com/watch?v=am3iplyz4SW
Bir Google hesabıyla ilişkili bir telefon numarası bilgisiyle donanmış olan kötü bir aktör, SIM değiştiren bir saldırı yoluyla bunu kontrol edebilir ve sonuçta o telefon numarasıyla ilişkili herhangi bir hesabın şifresini sıfırlayabilir.
14 Nisan 2025’teki sorumlu açıklamanın ardından Google, araştırmacıya 5.000 dolarlık bir hata ödülünü verdi ve 6 Haziran 2025 itibariyle Javascript dışı kullanıcı adı kurtarma formundan tamamen kurtularak güvenlik açığını taktı.
Bulgular, aynı araştırmacının, bir saldırganın YouTube API’sında bir kusur ve piksel kaydedici ile ilişkili eski bir Web API’sını zincirleyerek herhangi bir YouTube kanalı sahibinin e -posta adresini ortaya çıkarmak için silahlandırabileceği 10.000 dolarlık bir sömürü detaylandırmasından aylar sonra geliyor.
Daha sonra Mart ayında Brutecat, “/get_creator_channels” uç noktasında bir erişim kontrol sorunu kullanarak YouTube Ortağı Programının (YPP) bir parçası olan içerik oluşturuculara ait e -posta adreslerini öğrenmenin mümkün olduğunu açıkladı.
“[An] /Get_creator_channels içindeki erişim denetim sorunu, ContentownerAssociation kanal sızdırıyor, bu da içerik kimliği API ile kanal e -posta adresi açıklamasına yol açıyor. “Dedi.
“YouTube iş ortağı programına (3 milyondan fazla kanal) katılan bir kanalı olan bir Google hesabına erişimi olan bir saldırgan, e-posta adresini ve YouTube iş ortağı programındaki diğer kanalların para kazanma ayrıntılarını alabilir. Saldırgan, bir Youtuber’ı (YouTube’da sahte anonim bir beklenti olduğu için kullanabilir) veya bunları phishese kullanabilir.”