Google Hesaplarında Güvenlik Açığı: Telefon Numarası Sızıntısı Tehlikesi
Google’ın kullanıcı hesaplarına bağlı telefon numaralarının hızlı bir şekilde tespit edilebildiği kritik bir güvenlik açığı tespit edildi. Bu açık sayesinde saldırganlar, brute-force (deneme-yanılma) saldırılarıyla telefon numaralarını yalnızca saniyeler veya dakikalar içerisinde ele geçirebiliyordu.
Güvenlik Açığının Detayları: Nasıl Fark Edildi?
14 Nisan 2025 tarihinde Singapurlu bir güvenlik araştırmacısı tarafından fark edilen bu kritik açıklık Google’a resmi olarak bildirildi. Araştırmacının bulgularına göre Singapur telefon numaraları yalnızca 5 saniyede, ABD numaraları ise yaklaşık 20 dakikada tespit edilebiliyordu.
Güvenlik Zafiyetinden Nasıl Faydalanıldı?
Bu güvenlik zafiyeti, Google’ın artık aktif olarak kullanmadığı JavaScript tabanlı kullanıcı adı kurtarma sayfası ile ilgiliydi. Sayfa, güvenlik ve bot saldırılarını önleyici CAPTCHA gibi koruma adımlarından yoksundu. Dolayısıyla saldırganlar, belirli bir kullanıcının telefon numarası varyasyonlarını hızla deneyerek gerçeği bulabiliyordu.
Telefon Numarası Nasıl Tespit Edilebiliyordu? Adım Adım Sömürü Yöntemi
Araştırmacı tarafından üç aşamalı bir istismar yöntemi belirlendi:
- Google Looker Studio ile hedef kullanıcının görünen adı öğreniliyor.
- Şifre sıfırlama adımındaki ekranda telefon numarasının son iki hanesi elde ediliyor.
- Kullanıcı adı kurtarma sayfasından sistematik denemelerle tam numara ortaya çıkarılıyor.
Bu yöntemin etkinliği, aşağıdaki tabloda özetlenmiştir:
| Bölge | Telefon Numarasının Tespit Süresi |
|---|---|
| Singapur | 5 saniye |
| ABD | Yaklaşık 20 dakika |
Google Tarafının Tepkisi ve Güvenlik Açığının Kapatılması
Güvenlik açığı Google’a bildirildikten sonra şirket, araştırmacıya 5.000 dolar tutarında ödül verdi ve 6 Haziran 2025 tarihinde ilgili kurtarma sayfasını tamamen devre dışı bırakarak sorunu çözdü. Böylece kullanıcıların telefon numaralarının sızdırılmasına neden olabilecek ciddi risk ortadan kalkmış oldu.
Bu gelişmeler, aynı araştırmacının daha önce YouTube kanallarına ait e-posta adresleri ve içerik üreticilere dair kişisel verilerin de sızdırılmasına yol açacak güvenlik açıklarını ortaya koymasının ardından gündeme geldi.
YouTube İş Ortağı Programı’nda Ortaya Çıkan Başka Bir Açık
Google’ın resmi açıklamasında, YouTube İş Ortağı Programı’ndaki bazı kullanıcıların kişisel bilgilerinin yanlış erişim kontrolü nedeniyle başkaları tarafından görüntülenebildiği belirtilerek bu durumun anonimliği de zedeleyebileceği ifade edildi.
Kullanıcılar için Riskler ve Önlemler
Kullanıcılar, bu tür güvenlik açıklarında mağdur olmamak için şüpheli bağlantılardan uzak durmalı, hesap kurtarma seçeneklerini güncel tutmalı ve mümkün olan her yerde iki adımlı kimlik doğrulama kullanmalıdır. Google’ın güvenlik önlemlerini artırması, kullanıcıların gizlilik ve veri güvenliğini koruma yolunda önemli bir adım olarak öne çıkıyor.
Sonuç: Güvenlik Açıkları ile Mücadelede Şeffaflık ve Hızlı Müdahale Hayati
Google’ın yaşadığı bu tür güvenlik sorunları dijital çağda kullanıcıların karşılaşabileceği riskleri bir kez daha gözler önüne seriyor. Firmaların şeffaf şekilde açıkları bildirmesi ve hızlıca müdahale edilmesi, kullanıcı gizliliği açısından büyük önem taşımaktadır.
