Američki tehnološki gigant Gugl je nedavno objavio da je uspeo da ispravi ozbiljnu bezbednosnu ranjivost koja je postojala u njihovom sistemu za oporavak korisničkih naloga. Ova ranjivost je potencijalnim napadačima omogućavala da otkriju privatni broj telefona povezan sa Guglovim nalogom, što bi ih moglo dovesti do pristupa raznim privatnim podacima korisnika.
Stručnjaci su naglasili da, iako nema dokaza da je ova greška iskorišćena u praksi, postoji značajan rizik dok propust nije bio otklonjen. Usmeravanje pažnje na ovakve bezbednosne propuste je ključno, s obzirom na potencijalne slabosti u bezbednosti korisničkih informacija.
Ranjivost se nalazila u mehanizmu oporavka naloga putem broja telefona. Napadači bi koristili nekoliko koraka da dođu do ličnih informacija. Prvo bi prikupili korisničko ime, a zatim bi se trudili da zaobiđu zaštitne mehanizme koji sprečavaju automatizovane zahteve za resetovanje lozinke. Kada su prevazišli ove zaštite, napadači bi mogli da pokrenu sistematski napad kako bi testirali sve moguće kombinacije brojeva telefona sve dok ne pronađu tačan, čime bi mogli doći do veoma osetljivih podataka korisnika.
Ovu ranjivost otkrio je nezavisni bezbednosni istraživač poznat kao „brutecat“. Zbog svog otkrića, on je nagrađen sa više od 4500 evra putem Guglovog programa nagrađivanja za otkrivanje propusta. Ovo otkriće naglašava važnost saradnje između tehnoloških kompanija i nezavisnih stručnjaka u borbi protiv sajber pretnji.
Gugl je reagovao brzo, otklanjajući propust još u aprilu 2025. godine, ali je javnost o postojanju problema obaveštena tek nedavno. Nakon što je kompanija potvrdila da je ranjivost u potpunosti rešena, korisnici više ne moraju brinuti o potencijalnim rizicima. Iako nije bilo zabeleženih konkretnih šteta, stručnjaci upozoravaju da bi ranjivost mogla imati ozbiljne posledice. Da je napad bio uspešan, napadači bi mogli pristupiti ličnim podacima, emailovima, dokumentima i drugim osetljivim informacijama samo uz pomoć broja telefona.
Zbog mogućih posledica, stručnjaci preporučuju korisnicima da redovno proveravaju bezbednosna podešavanja svojih naloga. Preporučuje se uključivanje dvofaktorske autentifikacije (2FA) i redovno ažuriranje metoda za oporavak naloga. U svetlu ovih događaja, važno je da korisnici budu svesni bezbednosnih rizika i preduzmu adekvatne mere zaštite.
Uverenje da su veliki tehnološki sistemi zaštićeni može dovesti do nepažnje u pogledu bezbednosti. Savremene tehnologije i alati za cyber bezbednost su u stalnom razvoju, ali korisnici takođe moraju biti aktivni u zaštiti svog identiteta i osetljivih informacija. Rupe u bezbednosti poput ove ukazuju na potrebu za pažljivim nadgledanjem svih sistema, sa posebnim naglaskom na mehanizme oporavka koji često ostaju nezaštićeni.
U zaključku, otkriće ove ranjivosti i način na koji je otklonjena su važni primeri efikasnosti saradnje između nezavisnih istraživača i velikih kompanija. Ovakve situacije pokreću pitanja o tome koliko su korisnici svesni sukoba između tehnologije i bezbednosti, koji se neprestano razvijaju. U svetu gde su podaci postali vredna roba, zaštita ličnih informacija mora biti prioritet za sve korisnike.
