في تطور مثير للقلق في مجال الأمن السيبراني، كشف باحث أمني مستقل عن ثغرة خطيرة في نظام استرجاع حسابات Google، كانت تسمح للمهاجمين بالتوصل إلى رقم الهاتف المرتبط بأي حساب Gmail باستخدام عنوان البريد الإلكتروني فقط!
تفاصيل الثغرة: من أين بدأت القصة؟
الباحث الأمني الذي يستخدم الاسم المستعار BruteCat اكتشف أن النموذج القديم لاسترجاع الحسابات على Google كان يحتوي على خلل يسمح بالتحقق من وجود رقم هاتف معين مرتبط بأي حساب Gmail.
وبعد تحليل معمّق، تمكّن من تطوير أداة تقوم بـ:
- توليد أرقام هواتف عشوائية
- اختبارها مباشرة على النظام القديم لجوجل
- كشف ما إذا كان الرقم مرتبطًا بالحساب المستهدف
استغلال Looker Studio لتحديد أسماء الحسابات
قبل الوصول إلى رقم الهاتف، يحتاج المخترق إلى معرفة اسم الحساب المرتبط بالبريد الإلكتروني. هنا يأتي دور Google Looker Studio (أداة تحليل البيانات التابعة لجوجل).
حتى إذا لم يفتح المستخدم المستند المُرسل إليه، فإن اسمه الكامل يظهر في واجهة الأداة، ما يمنح المهاجم المفتاح الأساسي لتكملة الهجوم.
كيف تعاملت Google مع الخطر؟
- 14 أبريل 2025: بلّغ الباحث Google بالثغرة
- 22 مايو 2025: أغلقت الشركة النموذج القديم نهائيًا
مكافأة: حصل BruteCat على 5000 دولار ضمن برنامج مكافآت اكتشاف الثغرات
كيف تحمي نفسك من اختراق حساب Gmail؟
لم تتأثر معظم الحسابات النشطة، لكن الحيطة واجبة دائمًا. إليك بعض النصائح:
1. فعّل المصادقة الثنائية (2FA): طبقة حماية إضافية عبر الهاتف أو تطبيقات التوثيق
2. راجع إعدادات الأمان بانتظام: خصوصًا بيانات الاسترداد والأنشطة المشبوهة
3. كن حذرًا من الروابط والمرفقات: خصوصًا عبر البريد الإلكتروني
رغم أن Google قامت بإصلاح الثغرة بسرعة، تبقى هذه الواقعة تذكيرًا قويًا بأن الأمن الرقمي مسؤولية مستمرة. استخدم أدوات الأمان المتاحة، وكن دائمًا على دراية بالتحديثات.
هل لديك سؤال تقني؟ شاركني في التعليقات أو راسلني مباشرة.
تعليقات: (0) إضافة تعليق