ثغرة حرجة في حسابات جوجل تكشف الأرقام السرية
مقدمة حول الثغرة
اكتشف أحد الباحثين في مجال الأمان ثغرة حرجة تتعلق بحسابات جوجل، والتي كانت قادرة على كشف الأرقام الخاصة لاستعادة الحسابات، مما يعرض المستخدمين لمخاطر مثل هجمات تبديل بطاقة SIM وسرقة الهوية. هذه الثغرة كانت تهدد خصوصية المستخدمين بشكل كبير، خصوصًا أولئك الذين يعتمدون على خدمات استعادة الحسابات.
آلية استغلال الثغرة
استغل المهاجمون سلسلة معقدة من الهجمات، حيث استخدموا نموذج استعادة الحساب الذي يعمل بدون JavaScript، مما سمح لهم بالوصول إلى معلومات حساسة. هذه النماذج عادة ما تعتمد على حلول معقدة لمكافحة الاعتداءات، وهو ما يجعل هذه الثغرة أكثر خطورة.
تفاصيل عملية الاختراق
بدأت العملية بملاحظة أن نموذج استعادة اسم المستخدم لدى جوجل لا يحتاج إلى JavaScript. بعد ذلك، كان بإمكان الباحث التحقق مما إذا كان البريد الإلكتروني أو رقم الهاتف مرتبطًا باسم عرض معين. كما أن الباحث اكتشف أن عملية استعادة كلمة المرور توفر تلميحًا عن رقم الهاتف، مما يسهل على المهاجمين تخمين الرقم الكامل.
صلاح الدين الأيوبي الحلقة 31
سرعة الهجمات البرمجية
لم تكن الثغرة تعتمد على خطأ واحد، بل على سلسلة من العمليات المتكاملة. بعد جمع المعلومات، استخدم الباحث سكربتًا آليًا على خادم بموارد عادية، مما أتاح له تنفيذ حوالي 40,000 محاولة في الثانية. وقد مكن ذلك من اكتشاف الأرقام في دقائق معدودة، حيث استغرق الأمر وقتًا مختلفًا حسب البلد:
- الولايات المتحدة (+1): حوالي 20 دقيقة.
- المملكة المتحدة (+44): حوالي 4 دقائق.
- هولندا (+31): حوالي 15 ثانية.
- سنغافورة (+65): حوالي 5 ثوانٍ.
استجابة جوجل
قدم الباحث تقريرًا حول الثغرة إلى جوجل في 14 أبريل، وتم التعامل معه بسرعة. وفي مايو، أكدت جوجل أنها قامت بإصلاح الثغرة، وأكدت أنها ستواصل التعاون مع مجتمع الباحثين الأمنيين من خلال برنامج المكافآت الخاص بها. وقد صرح متحدث باسم جوجل قائلاً: "لقد تم إصلاح هذه المشكلة، ونشكر الباحث على تنبيهه لنا حولها."
خاتمة
تعتبر هذه الثغرة مثالًا على أهمية الحذر في استخدام خدمات الإنترنت، وضرورة تعزيز الأمان الرقمي. يجب على المستخدمين أن يكونوا واعين للمخاطر المحتملة وأن يتخذوا الاحتياطات اللازمة لحماية بياناتهم الشخصية.
