اكتشف باحث أمني ثغرة أمنية يُمكن استغلالها للكشف عن رقم هاتف الاسترداد الخاص لأي حساب "غوغل" تقريبًا دون تنبيه صاحبه، مما قد يُعرّض المستخدمين لمخاطر تتعلق بالخصوصية والأمان.

أكدت "غوغل" أنها أصلحت الثغرة بعد أن أبلغها الباحث في أبريل، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".

أفاد الباحث المستقل، الذي يحمل اسم المستخدم brutecat ونشر نتائجه على مدونته، أنه يُمكنه الحصول على رقم هاتف الاسترداد لحساب "غوغل" من خلال استغلال ثغرة في ميزة استرداد الحساب بالشركة.

اعتمدت هذه الثغرة على "سلسلة هجمات" من عدة عمليات فردية تعمل بالتزامن، بما في ذلك تسريب اسم العرض الكامل لحساب مُستهدف، وتجاوز آلية حماية من البرامج الروبوتية التي طبقتها "غوغل" لمنع الرسائل الخبيثة غير المرغوب فيها لطلبات إعادة تعيين كلمة المرور.

سمح تجاوز حد السرعة في النهاية للباحث بإجراء جميع التعديلات الممكنة لرقم هاتف حساب "غوغل" في فترة زمنية قصيرة والوصول إلى الأرقام الصحيحة.

من خلال أتمتة سلسلة الهجوم باستخدام نص برمجي، قال الباحث إنه من الممكن اختراق رقم هاتف الاسترداد الخاص بصاحب حساب "غوغل" باستخدام القوة الغاشمة في غضون 20 دقيقة أو أقل، وذلك حسب طول رقم الهاتف.

قد يُعرّض الكشف عن رقم هاتف الاسترداد الخاص حتى حسابات "غوغل" المجهولة لهجمات مُستهدفة، مثل محاولات الاستيلاء.

إن تحديد رقم هاتف خاص مرتبط بحساب "غوغل" لشخص ما قد يُسهّل على المُخترقين المُحنّكين السيطرة على هذا الرقم من خلال هجوم تبديل بطاقة SIM، على سبيل المثال.

بالتحكم في هذا الرقم، يُمكن للمُهاجم إعادة تعيين كلمة مرور أي حساب مُرتبط به عن طريق توليد رموز إعادة تعيين كلمة المرور المُرسلة إلى ذلك الهاتف.

وقالت كيمبرلي سمرا، المُتحدثة باسم شركة غوغل: "تم إصلاح هذه المشكلة. لطالما أكّدنا على أهمية العمل مع مجتمع أبحاث الأمن من خلال برنامج مكافآت الثغرات الأمنية لدينا، ونودّ أن نشكر الباحث على إبراز هذه المشكلة".

وأضافت: "تُعدّ مُساهمات الباحثين هذه إحدى الطرق العديدة التي تُمكّننا من العثور على المشاكل وإصلاحها بسرعة من أجل سلامة مُستخدمينا".

صرح سمرا أن الشركة لم ترصد "أية روابط مؤكدة ومباشرة للثغرات الأمنية حتى الآن".

وأفاد Brutecat أن "غوغل" دفعت 5000 دولار كمكافأة لاكتشافه الثغرات.

الحقيقة الدولية – وكالات