Telefon numaranızı 5 saniyede buluyorlar: Hepsi bu kodların arasındaymış

Söz konusu güvenlik açığı, Singapurlu bir güvenlik araştırmacısı tarafından keşfedilerek 14 Nisan 2025 tarihinde Google'a bildirildi. Araştırmaya göre Google hesaplarına bağlı telefon numaraları brute-force (kaba kuvvet) yöntemleriyle tahmin edilerek saniyeler içinde tespit edilebiliyordu.

En çarpıcı bulguya göre Singapur numaraları ortalama 5 saniyede, ABD numaraları ise yaklaşık 20 dakikada çözülüyordu. Bu işlem, kullanıcının Google hesabıyla ilişkili görünen adı ve numarasının son iki hanesinin bilindiği durumlarda çok daha hızlı gerçekleşiyordu.

AÇIK BİR SAYFADA TESPİT EDİLDİ

Güvenlik zaafı, artık aktif olmayan bir JavaScript devre dışı kullanıcı adı kurtarma sayfasında tespit edildi. Bu sayfa, CAPTCHA gibi temel güvenlik önlemlerini içermediği için saldırganlar tarafından kolayca kötüye kullanılabiliyordu. Google'ın şifre sıfırlama ekranında gösterilen numaranın son iki hanesi de saldırıyı daha kolay hale getiriyordu.

Araştırmacının geliştirdiği üç aşamalı yöntem ise şu şekildeydi:

• 1. Google Looker Studio ile hedef kullanıcının adı tespit ediliyor.
• 2. Şifre sıfırlama ekranı üzerinden numaranın son iki hanesi öğreniliyor.
• 3. Kurtarma sayfası üzerinden sistematik denemeler yapılarak tam numara tahmin ediliyor.

GOOGLE AÇIĞI KAPATIP ÖDÜL VERDİ

Google, açık bildirildikten sonra duruma müdahale etti. 6 Haziran 2025'te güvenlik açığına neden olan kurtarma sayfası tamamen devre dışı bırakıldı. Durumu bildiren kişiye ise 5.000 dolar tutarında ödül verildi.

Bu gelişme, aynı kişinin daha önce YouTube içerik üreticilerinin e-posta ve hesap bilgilerini ifşa edebilen başka bir açığı daha ortaya çıkarmasından sonra geldi. Google'ın o dönem yaptığı açıklamada, YouTube İş Ortağı Programı kullanıcılarının bazı bilgilerinin erişim kontrol hatası nedeniyle başka kişiler tarafından görüntülenebileceği belirtilmişti.