Aleksandar Božović
Google je hitno ažurirao Gmail kako bi zaustavio bezbednosni propust koji je omogućavao da se privatni broj telefona korisnika otkrije putem njihove Gmail adrese. Ovaj zabrinjavajući propust je demonstrirao korisnik poznat pod nadimkom brutecat. Metoda je uspešno otkrivala broj povezan sa bilo kojim Google nalogom iako taj broj inače nije javan podatak.
Google je potvrdio postojanje propusta i brzo ga zakrpio:
„Problem je otklonjen. Zahvaljujemo korisniku na prijavi kroz naš program za nagrađivanje bezbednosnih propusta. Takve prijave su ključne za brzo otkrivanje i rešavanje problema radi sigurnosti naših korisnika”, navodi se u zvaničnoj izjavi kompanije.
Iako je ovo bio samo dokaz koncepta i nije zabeležena masovna zloupotreba, posledice otkrivanja broja telefona mogu biti ozbiljne, uključujući napade socijalnog inženjeringa, krađu naloga putem SIM swap tehnike i lažne pozive koji se predstavljaju kao tehnička podrška.
Preporuke za korisnike:
- Obrišite svoj broj telefona kao metod za dvofaktorsku autentifikaciju 2FA. Umesto toga, koristite autentifikatore (kao što su aplikacije Google Authenticator, Microsoft Authenticator), fizičke sigurnosne ključeve ili passkeys.
- Broj možete zadržati isključivo kao opciju za oporavak naloga, ali ga ne koristite za primanje SMS kodova za prijavu.
- Nikada ne odgovarajte na pozive ili poruke u kojima se neko lažno predstavlja kao predstavnik podrške velikih kompanija, uključujući Google. Kompanija ističe da nikada ne poziva korisnike povodom bezbednosnih problema.
Ova situacija još jednom potvrđuje koliko su SMS kodovi zastarela i ranjiva forma zaštite i koliko je važno preći na naprednije, otpornije metode verifikacije. Google, kao i druge velike tehnološke firme, sada aktivno podstiče korisnike da pređu sa SMS 2FA na jače oblike zaštite naloga, prenosi Forbes.
Nema komentara 😞
Trenutno nema komentara vezanih za ovu vest. Priključi se diskusiji na Benchmark forumu i budi prvi koje će ostaviti komentar na ovaj članak!
Pridruži se diskusiji