ثغرة في “غوغل” أظهرت أرقام الهواتف الشخصية للمستخدمين

آخر تحديث9 يونيو 2025 - 8:53م

كشف باحث مستقل في مجال الأمن السيبراني عن ثغرة خطيرة في نظام استعادة الحسابات لدى شركة “غوغل”، كانت تتيح الحصول على رقم الهاتف السري المرتبط بأي حساب دون علم صاحبه، مما يشكل تهديدًا واضحًا للخصوصية والأمان الرقمي.

وأفادت شركة “غوغل” لموقع TechCrunch أنها قامت بإصلاح الثغرة فور تلقيها بلاغًا من الباحث المعروف باسم “brutecat”، الذي نشر تفاصيل الاكتشاف في مدونة متخصصة.

وبحسب الباحث، فإن الاستغلال تم من خلال سلسلة هجمات مركّبة تشمل خطوات متتابعة، منها كشف الاسم الكامل للملف الشخصي المستهدف، وتخطي آلية الحماية ضد الروبوتات التي تقيّد عدد طلبات إعادة تعيين كلمة المرور. واستطاع الباحث عبر تجاوز حدود هذه الطلبات تنفيذ عدد هائل من المحاولات لاكتشاف الرقم الصحيح المرتبط بالحساب.

وأوضح “brutecat” أنه تمكن من أتمتة العملية بالكامل باستخدام نص برمجي، مما أتاح له تحديد رقم الاسترداد خلال أقل من 20 دقيقة في بعض الحالات، وذلك وفقًا لطول الرقم.

ولتجربة ذلك، أنشأ موقع TechCrunch حسابًا جديدًا على “غوغل” باستخدام رقم هاتف لم يُستخدم من قبل، وشارك عنوان البريد الإلكتروني مع الباحث، الذي نجح لاحقًا في كشف الرقم المرتبط بالحساب، مؤكّدًا ذلك برسالة قال فيها: “أصبت الهدف :)”.

ويحذر الخبراء من أن الوصول إلى رقم الهاتف المرتبط بالحساب قد يعرّض حتى الحسابات المجهولة لخطر الاستيلاء، لاسيما من خلال هجمات “استبدال شريحة SIM”، وهي تقنية يستخدمها القراصنة للسيطرة على رقم الهاتف ومن ثم الحصول على رموز إعادة تعيين كلمات المرور.

ونظرًا لحساسية الثغرة، قررت منصة TechCrunch تأجيل نشر التقرير إلى حين قيام “غوغل” بإصلاح الخلل. وقالت المتحدثة باسم الشركة، كيمبرلي سامرا: “تمت معالجة هذه المسألة. نحن نثمّن التعاون مع مجتمع الباحثين الأمنيين عبر برنامج مكافآت الثغرات، ونشكر الباحث على تنبيهه”. وأضافت: “لم نرصد أي استغلال مؤكد للثغرة حتى الآن”.

من جهته، أكد الباحث “brutecat” أن شركة “غوغل” منحته مكافأة قدرها 5,000 دولار نظير اكتشافه.