• Bir Araştırmacı Google Hesabına Bağlı Herhangi Bir Telefon Numarasının Nasıl Ortaya Çıkarılacağını Buldu (wired.com)
    by durum_leyla     3 ay önce        0 Yorum     yaşam    


    • Bir Araştırmacı, Google Hesabına Bağlı Herhangi Bir Telefon Numarasının Nasıl Ortaya Çıkarılacağını Buldu
    Bir siber güvenlik araştırmacısı, genellikle kamuya açık olmayan ve araştırmacıya, Google'a ve 404 Media'nın kendi testlerine göre genellikle hassas bilgiler olan, herhangi bir Google hesabıyla bağlantılı telefon numarasını bulmayı başardı.

    Sorun o zamandan beri çözüldü, ancak o sırada, nispeten az kaynağa sahip hacker'ların bile insanların kişisel bilgilerine brute force yöntemiyle ulaşabileceği bir gizlilik sorunu ortaya koydu.

    Sorunu bulan bağımsız güvenlik araştırmacısı, brutecat takma adıyla bilinen kişi, bir e-postada, "Bence bu exploit oldukça kötü çünkü SIM takasçıları için temelde bir altın madeni," diye yazdı. SIM takasçıları, hedef kişinin telefon numarasını ele geçirerek aramalarını ve mesajlarını almak için kullanan ve bu da her türlü hesaba girmelerini sağlayabilen hackerlardır.

    Nisan ortasında, brutecat'e güvenlik açığını test etmek için kişisel Gmail adreslerimizden birini verdik. Yaklaşık altı saat sonra, brutecat bu hesapla bağlantılı doğru ve tam telefon numarasını yanıtladı.

    brutecat, süreçleri hakkında, "Esasen, numarayı brute force ile kırıyor," dedi. Brute force, bir hacker'ın aradığı sayıları veya karakterleri bulana kadar farklı sayı veya karakter kombinasyonlarını hızla denediği bir yöntemdir. Tipik olarak bu, birinin şifresini bulmak bağlamındadır, ancak burada brutecat, bir Google kullanıcısının telefon numarasını belirlemek için benzer bir şey yapıyor.

    brutecat, bir e-postada, brute force işleminin ABD numarası için yaklaşık bir saat, İngiltere numarası için ise 8 dakika sürdüğünü söyledi. Diğer ülkeler için bir dakikadan az sürebileceğini belirtti.

    Exploiti gösteren ekli videoda, brutecat, bir saldırganın hedef kullanıcının Google ekran adına ihtiyacı olduğunu açıklıyor. Videoda belirtildiği üzere, bunu önce Google'ın Looker Studio ürününden hedefe bir belgenin sahipliğini devrederek buluyorlar. Belgenin adını milyonlarca karakter olacak şekilde değiştirdiklerini ve bunun sonucunda hedef kullanıcının sahiplik değişikliğinden haberdar edilmediğini söylüyorlar. Yazılarında ayrıntılı olarak açıkladıkları özel bir kod kullanarak, brutecat daha sonra bir sonuç alana kadar Google'ı telefon numarası tahminleriyle bombardımana tutuyor.

    Videodaki bir alt yazıda, "Mağdur hiç haberdar edilmiyor :)" yazıyor.

    Google sözcüsü 404 Media'ya yaptığı açıklamada, "Bu sorun çözüldü. Güvenlik araştırma topluluğu ile güvenlik açıkları ödül programımız aracılığıyla çalışmanın önemini her zaman vurguladık ve bu sorunu bildirdiği için araştırmacıya teşekkür etmek istiyoruz. Bu gibi araştırmacı gönderimleri, kullanıcılarımızın güvenliği için sorunları hızlı bir şekilde bulup düzeltebilmenin birçok yolundan biridir," dedi.

    Telefon numaraları, SIM takasçıları için önemli bir bilgi parçasıdır. Bu tür hackerlar, çevrimiçi kullanıcı adlarını veya kripto parayı çalmak için sayısız bireysel hack olayıyla ilişkilendirilmiştir. Ancak gelişmiş SIM takasçıları, büyük şirketleri hedeflemeye de yükseldi. Bazıları doğrudan Doğu Avrupa'dan gelen fidye yazılım çeteleriyle çalıştı.

    Telefon numarasına sahip olan bir SIM takasçısı daha sonra mağduru taklit ederek telekom şirketini, hacker'ın kontrol ettiği bir SIM karta metin mesajlarını yönlendirmeye ikna edebilir. Oradan, hacker şifre sıfırlama metin mesajları veya çok faktörlü kimlik doğrulama kodları isteyebilir ve mağdurun değerli hesaplarına giriş yapabilir. Bu, kripto para depolayan hesapları veya hatta daha da zararlı olan, diğer birçok hesaba erişim sağlayabilen e-postalarını içerebilir.

    FBI, web sitesinde, bu nedenle insanların telefon numaralarını kamuya açık olarak duyurmamalarını öneriyor. "Kişisel ve mali bilgilerinizi koruyun. Telefon numaranızı, adresinizi veya mali varlıklarınızı, kripto para sahipliği veya yatırımı da dahil olmak üzere, sosyal medya sitelerinde reklam yapmayın," diyor site.

    Yazılarında brutecat, Google'ın bulguları için kendisine 5.000 dolar ve bazı hediyeler verdiğini söyledi. Başlangıçta, Google güvenlik açığını istismar olasılığının düşük olduğunu belirtti. brutecat'in yazısına göre şirket daha sonra bu olasılığı orta seviyeye yükseltti.

    Daha Fazlasını Okuyun

    184 Milyon Kayıttan Oluşan Gizemli Veritabanı Çok Sayıda Giriş Kimliğini Ortaya Çıkarıyor

    Hazne şimdi kaldırıldı, ancak Apple, Google ve Meta dahil platformlar için kullanıcıların giriş bilgilerini ve birçok hükümetin hizmetlerini içeriyordu.

    Fed, Fidye Yazılımları, Siber Saldırılar ve Casuslukta Kullanılan Botnetlerle İlişkili 16 Rus'u Suçluyor

    Rus uyruklular grubuna karşı yeni bir ABD iddianamesi, yetkililerin söylediğine göre, tek bir kötü amaçlı yazılım operasyonunun hem suçlu hem de devlet destekli hack'lere nasıl olanak sağladığının açık bir örneğini sunuyor.

    Signal Taklidi Uygulama TeleMessage 20 Dakikada Nasıl Hacklendi

    En az bir Trump yönetimi yetkilisi tarafından kullanılan Signal klonunun arkasındaki şirket, bu ayın başlarında ihlal edildi. Hacker, temel bir yanlış yapılandırma sayesinde içeri girdiğini söylüyor.

    ABD Verilerinizi Satın Almak İçin Tek Durak Noktası Oluşturuyor

    Ayrıca: Gizemli bir hacker grubunun gizli müşterisi ortaya çıkıyor, Signal Microsoft Recall'a bir hamle yapıyor, Rus hackerlar Ukrayna'ya yardım için casusluk yapmak amacıyla güvenlik kameralarını hedef alıyor ve daha fazlası.

    Google'ın Savunmasız Kullanıcılar İçin Gelişmiş Koruması Android'e Geliyor

    Android 16 için yeni bir ekstra güvenli mod, risk altındaki kullanıcıların cihazlarını kilitlemelerine olanak sağlayacak.

    Almanya'daki Polisler Gizemli Trickbot Fidye Yazılımı Beyni'ni Kimliğini Tespit Ettiklerini İddia Ediyor

    Trickbot ve Conti siber suçlu gruplarının gizemli patronu sadece "Stern" olarak biliniyordu. Şimdi, Alman kolluk kuvvetleri iddia edilen kimliğini yayınladı ve bu tanıdık bir yüz.

    Bir Hacker, Oltalama Kampanyasında Trump'ın Başkanlık Yöneticisinin Derin Sahte Videosunu Oluşturmuş Olabilir

    Ayrıca: İranlı bir adam Baltimore fidye yazılımı saldırısı için suçlu bulundular, Rusya'nın nükleer planları sızdırıldı, Teksas şerifi bir kürtaj yaptıran kadını takip etmek için plaka okuyucuları kullanıyor ve daha fazlası.

    Apple'ın Çin Hack'leriyle İlişkili Olduğunu Reddettiği iPhone Çökmelerinin Gizemi

    Ayrıca: 22 yaşındaki eski bir stajyer, önemli bir terörle mücadele programının başına getiriliyor, tehdit istihbaratı şirketleri hacker grupları için kafa karıştırıcı adlarını nihayet düzeltiyor ve daha fazlası.

    Coinbase, Veri İhlalinden Sonra Müşterilere 400 Milyon Dolara Kadar Tazminat Ödeyecek

    Ayrıca: 263 milyon dolarlık bir kripto soygunuyla ilgili 12 kişi daha hakkında dava açıldı ve eski bir FBI direktörü Instagram'da deniz kabukları gönderisi nedeniyle Donald Trump'ı tehdit etmekle suçlanıyor.

    Yetkililer, Siber Suçlular Tarafından Yaygın Olarak Kullanılan Bilgi Çalar'ın Kapsamlı Küresel Kaldırılmasını Gerçekleştiriyor

    ABD, Avrupa ve Japon yetkilileri ile Microsoft ve Cloudflare dahil teknoloji şirketleri, suç çeteleri arasında popüler olan bir bilgi çalar olan Lumma'yı bozduklarını söylüyor.

    Kuzey Koreli BT Çalışanları Büyük Ölçekte Ortaya Çıkıyor

    Güvenlik araştırmacıları, Batı şirketlerine sızdığını iddia ettikleri Kuzey Koreli BT çalışanlarının dolandırıcılıklarıyla bağlantılı olduğunu iddia ettikleri 1.000 e-posta adresini - iddia edilen dolandırıcılıklara karışan erkeklerin fotoğraflarıyla birlikte - yayınlıyor.

    Google, Dolandırıcılık Metinlerini ve Yatırım Dolandırıcılığını Tespit Etmek İçin Cihaz Üzerinde Yapay Zeka Kullanıyor

    Google Mesajlar'daki Android'in "Dolandırıcılık Tespiti" koruması artık daha fazla dijital dolandırıcılık türünü işaretleyebilecek.

    Kaydol ya da oturum aç

    Yorumlar