ما حدث هو أنه كانت هناك ثغرة أمنية، تم إصلاحها الآن، تسمح لشخص ما بالوصول إلى رقم استرداد حساب غوغل من خلال القوة الغاشمة. كل ما أحتاجه هو اسم الملف الشخصي ورقم هاتف جزئي يمكنني استرداده بسهولة.
على وجه التحديد، يرجع ذلك كله إلى إصدار قديم من نموذج استرداد اسم مستخدم Google. ولم يكن لديه أي حماية حقيقية لمنع هجمات القوة الغاشمة، مما أعطى مجرمي الإنترنت الذين أرادوا استغلال الخلل ميزة واضحة. تم اكتشافه من قبل باحث أمن الكمبيوتر المعروف باسم BruteCat.
تجدر الإشارة إلى أن ما تم الكشف عنه هو الرقم المستخدم لإعداد حساب غوغ واستخدامه للاسترداد. وهذا يعني أن العدد لن يتطابق دائمًا مع العدد الرئيسي الفعلي للمستخدمين. ومع ذلك، فمن الطبيعي أن يكون لدينا جميعًا رقم هاتف واحد فقط، وهو الرقم المرتبط بحسابنا على غوغل .
ما اكتشفه BruteCat هو أنه يمكنه الوصول إلى نموذج استرداد قديم وغير محدث بدون JavaScript. في الأساس، يسمح لأي شخص بالتحقق مما إذا كان رقم هاتف معين مرتبطًا بحساب غوغل أم لا، استنادًا إلى اسم المستخدم.
وبفضل كل هذا، أصبح قادراً على اختبار ما يصل إلى 40 ألف رقم في كل ثانية بالقوة الغاشمة. ومن المنطقي، واعتمادًا على عدد سكان بلد ما، أن يستغرق الأمر وقتًا أطول أو أقل لمعرفة الرقم المرتبط بحساب ما.
في حالة الولايات المتحدة، قد يستغرق الأمر حوالي 20 دقيقة لمعرفة رقم ما. على أية حال، وبغض النظر عن البلد، فإننا نتحدث عن بضع دقائق لمعرفة ذلك. كل ما كنت أحتاجه هو عنوان البريد الإلكتروني، حتى أتمكن من ربطه باسم الملف الشخصي ومعرفة رقم الهاتف.
من المؤكد أن هذا قد يعرض أمن المستخدمين للخطر. إن معرفة رقم الهاتف المرتبط بحساب ما قد يؤدي إلى المزيد من هجمات التصيد الاحتيالي المستهدفة التي قد تؤدي إلى اختراق كلمات المرور. وقد يؤدي ذلك أيضًا إلى وقوع هجمات تُعرف باسم SIM Swapping أو استنساخ بطاقة SIM.
لحسن الحظ، قامت غوغل بالفعل بتحسين الأمان لمنع هذه المشكلة. أبلغ BruteCat عن هذه المشكلة إلى غوغل من خلال برنامج مكافأة الأخطاء الخاص بهم، وعلى الرغم من أنهم نظروا إليها في البداية على أنها منخفضة المخاطر، إلا أنهم اعتبروها لاحقًا متوسطة الخطورة وأجروا التغييرات. في الوقت الحالي، لم يعد من الممكن معرفة رقم مرتبط بحساب غوغل باستخدام هذه الطريقة.
ليست هناك تعليقات:
إرسال تعليق