Bir araştırmacı YouTube’da tespit ettiği güvenlik açıkları üzerinden kullanıcıların e-posta adreslerine erişim sağladığını duyurdu. Google ise bunun üzerine ilgili açığı kapattığını ve araştırmacıya ödül verdiğini açıkladı.
Keşfedilen açık milyarlarca kullanıcının e-posta adreslerinin tehlikeye girdiğini ortaya çıkardı. Yaşanan bu durum ise kullanıcıların oltalama (phishing) saldırılarına karşı savunmasız kalabileceğini gösterdi.
YouTube açığı sonrası kullanıcılar akınlara karşı uyarıldı
Araştırmacı Google eserlerinde tespit ettiği güvenlik açıkları sayesinde YouTube üzerinden rastgele bir kullanıcının Google hesap kimliğine (GAIA ID) erişebildiğini açıkladı. Keşfedilen bu açık YouTube’daki üç nokta menüsünden gelen sunucu cevabında ortaya çıktı. Araştırmacı elde ettiği GAIA ID’yi kullanarak eski bir Google eseri olan Pixel Recorder üzerinden kullanıcıların e-posta adreslerine ulaştı. Tıpkı vakitte sistemin bildirim e-postası göndermesini engellemek için kayıt başlığını 2.5 milyon karaktere çıkararak ihtar sistemini devre dışı bıraktı.
Araştırmacı, 15 Eylül 2024’te açığı Google’a bildirdi. Kasım ayında 3.133 dolar, Aralık ayında ise ek olarak 7.500 dolar olmak üzere toplamda 10.633 dolar ödül aldı. Google, açığın yüksek seviyede sömürü (exploitation) riski taşıdığını ve berbata kullanım potansiyelinin önemli olduğunu açıkladı. Her ne kadar bu açık direkt giriş bilgilerini yahut şifreleri tehlikeye atmasa da ele geçirilen e-posta adresleri üzerinden oltalama (phishing) atakları gerçekleşebilir. Kullanıcıların, gelen e-postalara karşı dikkatli olması, güçlü şifreler kullanması ve kuşkulu temaslardan uzak durması öneriliyor.
