Bir araştırmacı YouTube’da tespit ettiği güvenlik açıkları üzerinden kullanıcıların e-posta adreslerine erişim sağladığını duyurdu. Google ise bunun üzerine ilgili açığı kapattığını ve araştırmacıya ödül verdiğini açıkladı.
Keşfedilen açık milyarlarca kullanıcının e-posta adreslerinin tehlikeye girdiğini ortaya çıkardı. Yaşanan bu durum ise kullanıcıların oltalama (phishing) saldırılarına karşı savunmasız kalabileceğini gösterdi.
YouTube açığı sonrası kullanıcılar saldırılara karşı uyarıldı
Araştırmacı Google ürünlerinde tespit ettiği güvenlik açıkları sayesinde YouTube üzerinden herhangi bir kullanıcının Google hesap kimliğine (GAIA ID) erişebildiğini açıkladı. Keşfedilen bu açık YouTube’daki üç nokta menüsünden gelen sunucu yanıtında ortaya çıktı. Araştırmacı elde ettiği GAIA ID’yi kullanarak eski bir Google ürünü olan Pixel Recorder üzerinden kullanıcıların e-posta adreslerine ulaştı. Aynı zamanda sistemin bildirim e-postası göndermesini engellemek için kayıt başlığını 2.5 milyon karaktere çıkararak uyarı sistemini devre dışı bıraktı.
Araştırmacı, 15 Eylül 2024’te açığı Google’a bildirdi. Kasım ayında 3.133 dolar, Aralık ayında ise ek olarak 7.500 dolar olmak üzere toplamda 10.633 dolar ödül aldı. Google, açığın yüksek düzeyde sömürü (exploitation) riski taşıdığını ve kötüye kullanım potansiyelinin ciddi olduğunu açıkladı. Her ne kadar bu açık doğrudan giriş bilgilerini veya şifreleri tehlikeye atmasa da ele geçirilen e-posta adresleri üzerinden oltalama (phishing) saldırıları gerçekleşebilir. Kullanıcıların, gelen e-postalara karşı dikkatli olması, güçlü şifreler kullanması ve şüpheli bağlantılardan uzak durması öneriliyor.