E-posta Erişimi ve Güvenlik Açığı
YouTube'da tespit edilen güvenlik açığı sayesinde kullanıcıların e-posta adreslerine erişim sağlandığı bildirildi. Google, bu açığı kapattığını ve araştırmacıya ödül verdiğini duyurdu. Ancak bu durum, kullanıcıların oltalama (phishing) saldırılarına karşı savunmasız kalabileceğini gösteriyor.
Olayın Detayları
Araştırmacı, Google ürünlerinde tespit ettiği güvenlik açıkları sayesinde YouTube üzerinden herhangi bir kullanıcının Google hesap kimliğine (GAIA ID) erişebildiğini açıkladı. Açık, YouTube’daki üç nokta menüsünden gelen sunucu yanıtında ortaya çıktı. Araştırmacı, elde ettiği GAIA ID’yi kullanarak eski bir Google ürünü olan Pixel Recorder üzerinden e-posta adreslerine ulaştı. Ayrıca, sistemin bildirim e-postası göndermesini engellemek için kayıt başlığını 2.5 milyon karaktere çıkararak uyarı sistemini devre dışı bıraktı.
Ödüller ve Uyarılar
Araştırmacı, 15 Eylül 2024’te açığı Google’a bildirdi ve Kasım ayında 3.133 dolar, Aralık ayında ise ek olarak 7.500 dolar olmak üzere toplamda 10.633 dolar ödül aldı. Google, açığın yüksek düzeyde sömürü riski taşıdığını ve kötüye kullanım potansiyelinin ciddi olduğunu vurguladı.
Her ne kadar bu açık doğrudan giriş bilgilerini veya şifreleri tehlikeye atmasa da, ele geçirilen e-posta adresleri üzerinden oltalama saldırıları gerçekleşebilir. Kullanıcılara, gelen e-postalara karşı dikkatli olmaları, güçlü şifreler kullanmaları ve şüpheli bağlantılardan uzak durmaları öneriliyor.
