Post by Ahmet T.

🇹🇷 #TR Gmail/Google account ile ilişkili hesap oluşturma akışlarında yer alan bir zero-day zafiyetini tespit edip sorumlu şekilde bildirdim. Bu durum aşağıdaki ciddi riskleri beraberinde getiriyordu: - Mevcut herhangi bir şirket e-posta adresi kullanılarak, şirket domain’ine bağlı yeni bir Google hesabı oluşturulabilmesi - Sadece e-posta domain’ine güvenen internal veya kısıtlı panellere erişim - Google’ın kendi altyapısı üzerinden ([email protected]) üzerinden geniş çaplı email bombing - Bir şirket adına üçüncü parti servislerde giriş/kayıt olunabilmesi Bu zafiyetin etkisini büyük kılan şey tek bir teknik açık değil, güven varsayımlarının sessizce ve ölçekli şekilde aşılabilmesiydi. Kimlik sistemleri, organizasyon onayı olmadan yalnızca domain sahipliğine güvendiğinde, sıradan görünen kayıt akışları ciddi risk yüzeylerine dönüşebiliyor. En tehlikeli güvenlik problemleri her zaman bozuk koddan değil, bozuk tasarım akışlarından ve yanlış güven varsayımlarından doğar. 🇬🇧 #EN I discovered and responsibly disclosed a zero-day vulnerability affecting Gmail/Google account signup workflows This issue introduced several serious risks, including: - Creating a new Google account associated with a company domain by using an existing corporate email address - Potential access to internal or restricted panels that rely solely on email-domain trust - Large-scale email bombing using Google’s own infrastructure ([email protected]) - Login/Registration on third-party services on behalf of a company, without the company’s awareness What made this issue particularly impactful was not a single technical flaw, but the ability to silently and repeatedly bypass trust assumptions at scale. When identity systems rely only on domain ownership without explicit organizational approval, seemingly normal signup flows can evolve into significant risk surfaces. The most dangerous security problems don’t always come from broken code, but from flawed design flows and misplaced trust assumptions.