Skip to content
Алармантен безбедносен пропуст во системот на Google им овозможи на хакерите да пристапат до приватните телефонски броеви на корисниците. Оваа ранливост, која постоеше во механизмот за обновување на сметката, беше откриена дури откако Google веќе го поправи пропустот.
Експертите за сајбер безбедност посочуваат дека овој неуспех претставува сериозна закана за приватноста на корисниците. Иако компанијата тврди дека нема докази за злоупотреба, потенцијалот за злоупотреба бил огромен и можел да доведе до огромни безбедносни инциденти.
Како хакерите би можеле да ве хакираат
Напаѓачите користеле комбинација од технички методи за да ги заобиколат заштитните механизми на Google. Прво ги откриле целосните имиња на корисниците, а потоа систематски тестирале различни комбинации на телефонски броеви.
Клучниот проблем беше што системот дозволуваше неограничен број обиди. Ова им овозможи на хакерите да „брутална сила“ на илјадници комбинации додека не го пронајдат точниот број поврзан со сметката.
Кој стои зад спасувањето на корисниците на Google?
Независен истражувач познат како „brutecat“ ја открил оваа ранливост и го пријавил на Google преку програмата за баунти. За неговиот придонес му беа доделени 5.000 долари.
Сепак, многумина ја критикуваа висината на наградата како прениска со оглед на сериозноста на пропустот. Ова повторно ја разгорува дебатата за адекватно наградување на етичките хакери кои помагаат да се подобри безбедноста.
Зошто Google веднаш не ги извести корисниците?
Google го поправи пропустот уште во април, но информациите за него ги објави дури три месеци подоцна. Од компанијата велат дека доцнењето се должи на потребата целосно да се реши проблемот пред да биде известена јавноста.
Оваа практика на „тивко поправање“ предизвика контроверзии, бидејќи корисниците не беа свесни за потенцијалната опасност додека пропустот сè уште постоеше. Експертите веруваат дека претходното известување ќе им овозможи на корисниците да преземат дополнителни заштитни мерки.
Како да ја заштитите вашата сметка?
Првата и најважна мерка е вклучување на двофакторна автентикација која не користи СМС пораки. Google Authenticator или слични апликации обезбедуваат многу повисоко ниво на заштита.
Дополнително, се препорачува редовно да се проверува активноста на сметката и да се користи управувач со лозинки. Исто така, важно е да избегнувате користење на ист телефонски број за повеќе сметки, особено оние што содржат чувствителни податоци.
Иако грешката е поправена, експертите советуваат:
-Вклучете двофакторна автентикација (2FA) што не користи SMS.
-Следете ја активноста на сметката за сомнителни најавувања.
-Избегнувајте да го користите телефонскиот број за враќање на сметката.
Овој случај е уште еден потсетник дека дури и најдоверливите платформи не се безбедни од експлоатирања. Останете будни.
