الكشف عن الرموز التي تكشف رقم هاتفك في 5 ثوانٍ

لفت أحد الباحثين الأمنيين السنغافوريين الانتباه إلى ثغرة أمنية أبلغت عنها جوجل في 14 أبريل 2025. وفقًا للبحث، يمكن اختراق أرقام الهواتف المرتبطة بحسابات جوجل في ثوانٍ باستخدام أساليب القوة الغاشمة.

تم فك تشفير الأرقام السنغافورية في حوالي 5 ثوانٍ والأرقام الأمريكية في حوالي 20 دقيقة. وكان هذا الوقت أقصر من ذلك عندما كان آخر رقمين من اسم المستخدم ورقمه معروفين.

اكتشفت في صفحة مفتوحة

تم العثور على الثغرة في صفحة استرداد اسم المستخدم المعطلة في جافا سكريبت التي لم تعد نشطة. يمكن استغلال هذه الصفحة بسهولة من قبل المهاجمين لأنها تفتقر إلى تدابير الأمان الأساسية. بالإضافة إلى ذلك، سهّل الرقمان الأخيران من الرقم المعروض على شاشة إعادة تعيين كلمة المرور الهجوم.

كانت الطريقة ثلاثية المراحل التي طورها الباحث على النحو التالي:

• 1. تم اكتشاف اسم المستخدم المستهدف باستخدام Google Looker Studio.
• 2. تم التعرف على آخر رقمين من الرقم من خلال شاشة إعادة تعيين كلمة المرور.
• 3. تم تقدير الرقم الدقيق من خلال محاولات منهجية على صفحة الاسترداد.

أصلحت جوجل العجز ومنحت جائزة

أصلحت جوجل على الفور الثغرة التي تم الإبلاغ عنها. في 6 يونيو 2025، تم إغلاق صفحة الاسترداد التي تسببت في الثغرة بالكامل. بالإضافة إلى ذلك، تم تقديم مكافأة قدرها 5000 دولار للشخص الذي أبلغ عن الثغرة.

يأتي ذلك بعد أن كشف الشخص نفسه في وقت سابق عن ثغرة أخرى يمكن أن تكشف معلومات منشئي المحتوى على يوتيوب. وكانت جوجل قد أصدرت بياناً بأن معلومات مستخدمي برنامج شركاء يوتيوب يمكن أن يطلع عليها أشخاص آخرون.