Google je popravio kritičnu grešku koja je otkrivala telefonske brojeve korisnika. Bezbednosni propust, otkriven od strane etičkog hakera, mogao je omogućiti hakerske napade na naloge. Kompanija je problem rešila u tišini, a javnost obavestila tek nakon tri meseca.
Alarmantna bezbednosna greška u Google sistemu omogućila je hakervima da pristune privatnim telefonskim brojevima korisnika. Ova ranjivost, koja je postojala u mehanizmu za oporavak naloga, otkrivena je tek nakon što je Google već popravio propust.
Eksperti za cyber bezbednost ističu da je ovaj propust predstavljao ozbiljnu pretnju po privatnost korisnika. Iako kompanija tvrdi da nema dokaza o zloupotrebi, potencijal za zloupotrebu bio je ogroman i mogao je dovesti do masovnih bezbednosnih incidenata.
Kako su hakeri mogli da vas hakuju
Napadači su koristili kombinaciju tehničkih metoda da bi zaobišli Googleove zaštitne mehanizme. Prvo su otkrivali puna imena korisnika, a zatim su sistematski testirali različite kombinacije telefonskih brojeva.
Ključni problem bio je u tome što je sistem dozvoljavao neograničen broj pokušaja. Ovo je omogućavalo hakerima da metodom "brute force" probaju hiljade kombinacija dok ne pronađu tačan broj povezan sa nalogom.
Ko stoji iza spašavanja Google korisnika?
Nezavisni istraživač poznat pod nadimkom "brutecat" otkrio je ovu ranjivost i prijavio je Google-u kroz program za nagrađivanje. Za svoj doprinos dobio je nagradu od 5.000 dolara.
Međutim, mnogi kritikuju iznos nagrade smatrajući da je premali s obzirom na ozbiljnost propusta. Ovo ponovo pokreće raspravu o adekvatnom nagrađivanju etičkih hakera koji pomažu u unapređenju bezbednosti.
Zašto Google nije odmah obavestio korisnike?
Google je propust otklonio još u aprilu, ali je informaciju o njemu objavio tek nakon tri meseca. Kompanija obrazlaže odlaganje potrebom da se potpuno reši problem pre nego što se javnost obavesti.
Ova praksa "tišeg popravljanja" izaziva kontroverze, jer korisnici nisu bili svesni potencijalne opasnosti dok je propust još postojao. Stručnjaci smatraju da bi ranije obaveštavanje omogućilo korisnicima da preduzmu dodatne mere zaštite.
Kako da zaštitite svoj nalog?
Prva i najvažnija mera je uključivanje dvofaktorske autentifikacije koja ne koristi SMS poruke. Google Authenticator ili slične aplikacije pružaju mnogo veći nivo zaštite.
Dodatno, preporučuje se redovna provera aktivnosti naloga i korišćenje menadžera lozinki. Važno je i izbegavanje korišćenja istog telefonskog broja za više naloga, posebno onih koji sadrže osetljive podatke.
Iako je propust popravljen, stručnjaci savetuju:
Uključite dvofaktorsku autentifikaciju (2FA) koja ne koristi SMS.
Pratite aktivnost na nalogu zbog sumnjivih prijava.Izbegavte korišćenje telefonskog broja za oporavak naloga.
Ovaj slučaj je još jedan podsjetnik da ni najpouzdanije platforme nisu sigurne od eksploatacija.
Ostanite oprezni.
Autor: Marija Radić
