Google Hesap Kurtarma Açığı Ortaya Çıktı: Herhangi Bir Kullanıcının Telefon Numarası Sızdırılabildi

Bir güvenlik araştırmacısı, Google hesap kurtarma altyapısında yer alan ve uzun süredir fark edilmeyen bir zafiyet sayesinde, herhangi bir Google kullanıcısına ait telefon numarasının sızdırılabildiğini açıkladı. Açık, Google’ın JavaScript devre dışı bırakıldığında da çalışan kullanıcı adı kurtarma formu üzerinden istismar edilebildi.

Araştırmacı, JavaScript kapalıyken dahi çalışan bu formun, belirli HTTP istekleri aracılığıyla bir telefon numarasının belirli bir ad-soyad ile eşleşip eşleşmediğini doğruladığını tespit etti. Bu mekanizma sayesinde, doğru parametreler kullanıldığında bir Google hesabının varlığı ve ilişkili telefon numarası hakkında doğrulama yapılabildi.

İki Aşamalı Doğrulama Mekanizması
İlk aşamada, hesap kurtarma formuna girilen telefon numarasıyla bir oturum anahtarı üretildi. İkinci aşamada ise bu anahtar kullanılarak ad ve soyad bilgileriyle doğrulama yapıldı. Sistem, eşleşme durumunda kullanıcıyı farklı bir kurtarma sayfasına yönlendirerek hesabın varlığını dolaylı olarak doğruladı.

Başlangıçta IP bazlı hız sınırlaması ve captcha engeliyle karşılaşan araştırmacı, BotGuard doğrulama token’ının, JavaScript’li formdan alınıp JavaScript’siz forma entegre edilmesiyle bu engellerin aşıldığını belirtti. Bu yöntemle, veri merkezi IP’leri üzerinden dahi yüksek hacimli sorguların mümkün hale geldiği ifade edildi.

IPv6 ve Büyük Ölçekli Denemeler
Araştırmada, IPv6 adres alanlarının sunduğu genişlikten faydalanılarak her istek için farklı bir IP kullanıldığı, bu sayede hız sınırlamalarının etkisiz hale getirildiği kaydedildi. Araştırmacı, geliştirdiği araçla saniyede on binlerce deneme yapılabildiğini aktardı.

Ülke Kodu ve İsim Bilgileri de Tespit Edilebildi
Telefon numarasının ülke kodu, Google’ın “şifremi unuttum” akışında gösterdiği maskeli numara formatları üzerinden belirlenebildi. Araştırmacı, bu formatların Google’ın kullandığı açık kaynaklı libphonenumber kütüphanesiyle birebir örtüştüğünü belirtti.

Kullanıcının ad ve soyad bilgisine ise Google Looker Studio üzerinden ulaşıldı. Araştırmacı, oluşturulan bir belgenin hedef kullanıcıya devredilmesiyle, kullanıcının hiçbir etkileşimi olmadan adının ana sayfada görüntülendiğini kaydetti.

“İstismar Olasılığı Düşük Denildi, Ödül Artırıldı”
Açık, 14 Nisan 2025’te Google’a bildirildi. Google, ilk değerlendirmede istismar olasılığını düşük bularak sınırlı bir ödül verdi. Araştırmacının itirazı sonrası yapılan yeniden değerlendirmede ise etkinin yüksek olduğu kabul edilerek ödül toplam 5 bin dolar seviyesine çıkarıldı.

Google, 22 Mayıs 2025 itibarıyla geçici önlemlerin devreye alındığını, 6 Haziran 2025’te ise JavaScript’siz kullanıcı adı kurtarma formunun tamamen devre dışı bırakıldığını doğruladı. Açık, 9 Haziran 2025’te kamuoyuna açıklandı.

Ajans Expres Gazetesi