Bir Siber Güvenlik Araştırmacısı Araştırmacı, Google ve 404 Medya’nın kendi testlerine göre, herhangi bir Google hesabına bağlı telefon numarasını, genellikle herkese açık olmayan ve genellikle hassas olan bilgiler bulabildi.
Sorun o zamandan beri düzeltildi, ancak o zamanlar nispeten az kaynağa sahip bilgisayar korsanlarının bile kaba insanların kişisel bilgilerine doğru yol almasına zorlayabileceği bir gizlilik sorunu sundu.
Brutecat tutamağından geçen sorunu bulan bağımsız güvenlik araştırmacısı, “Bu istismarın temelde Sim Swappers için bir altın madeni olduğu için oldukça kötü” dedi. Sim Swappers, aramalarını ve metinlerini almak için bir hedefin telefon numarasını devralan bilgisayar korsanlarıdır ve bu da her türlü hesaba girmelerine izin verebilir.
Nisan ayının ortalarında, Brutecat’a güvenlik açığını test etmek için kişisel Gmail adreslerimizden birini sağladık. Yaklaşık altı saat sonra Brutecat, bu hesaba bağlı doğru ve tam telefon numarasıyla cevap verdi.
“Esasen, sayıyı körüklüyor,” dedi Brutecat süreçlerinden. Kaba zorlama, bir hacker, peşinde olduklarını bulana kadar hızla farklı rakam veya karakter kombinasyonları denemesidir. Genellikle bu, birinin şifresini bulma bağlamında, ancak burada Brutecat bir Google kullanıcısının telefon numarasını belirlemek için benzer bir şey yapıyor.
Brutecat, bir e -postada kaba zorlamanın bir ABD numarası için yaklaşık bir saat veya bir İngiltere için 8 dakika sürdüğünü söyledi. Diğer ülkeler için bir dakikadan az sürebilir.
Exploit’i gösteren eşlik eden bir videoda Brutecat, bir saldırganın hedefin Google ekran adına ihtiyacı olduğunu açıklıyor. Video, bunu ilk olarak Google’ın Looker Studio ürününden bir belgenin sahipliğini hedefe aktararak buluyorlar. Belgenin adını milyonlarca karakter olarak değiştirdiklerini söylüyorlar, bu da hedefin sahiplik anahtarından haberdar edilmemesi ile sonuçlanıyor. Yazılarında detaylandırdıkları bazı özel kodlar kullanarak, Brutecat daha sonra Google’ı bir vuruş elde edene kadar telefon numarasının tahminleriyle engeller.
“Kurban hiç bilgilendirilmiyor :)” Videodaki bir başlık okuyor.
Bir Google sözcüsü 404 Media’ya yaptığı açıklamada 404 Media’ya “Bu sorun çözüldü. Güvenlik açığı ödül programımız aracılığıyla güvenlik araştırma topluluğu ile çalışmanın önemini her zaman vurguladık ve bu sorunu işaretledikleri için araştırmacıya teşekkür etmek istiyoruz. Bunun gibi araştırmacı gönderimleri, kullanıcılarımızın güvenliği için sorunları hızlı bir şekilde bulabileceğimiz ve düzeltebileceğimiz birçok yoldan biridir.”
Telefon numaraları SIM Swappers için önemli bir bilgidir. Bu tür bilgisayar korsanları, çevrimiçi kullanıcı adlarını veya kripto para birimini çalmak için sayısız bireysel hack’lerle bağlantılıdır. Ancak sofistike sim swappers da büyük şirketleri hedeflemeye yükseldi. Bazıları doğrudan Doğu Avrupa’dan fidye yazılımı çeteleriyle çalıştı.
Telefon numarası ile donanmış olan bir SIM Swaper, kurbanı taklit edebilir ve telekomlarını bir Hacker’ın kontrol ettiği bir SIM karta metin mesajlarını yeniden yönlendirmeye ikna edebilir. Hacker oradan şifre sıfır mesajı veya çok faktörlü kimlik doğrulama kodları isteyebilir ve kurbanın değerli hesaplarına giriş yapabilir. Bu, kripto para birimini depolayan veya daha da zarar verici olan hesapları içerebilir, bu da diğer birçok hesaba erişim sağlayabilir.
FBI, web sitesinde, insanların bu nedenle telefon numaralarını herkese açık bir şekilde reklam vermemelerini önerir. Site, “Kişisel ve finansal bilgilerinizi koruyun. Kripto para birimi mülkiyeti veya yatırımı da dahil olmak üzere telefon numaranızı, adresinizi veya finansal varlıklarınızı sosyal medya sitelerinde tanıtmayın” diyor.
Brutecat, yazılarında Google’ın bulguları için onlara 5.000 dolar ve biraz yağma verdiğini söyledi. Başlangıçta Google, güvenlik açığını düşük bir sömürü şansı olarak işaretledi. Brutecat’ın yazısına göre şirket daha sonra bu olasılığı ortama yükseltti.