Za odkryciem błędu stoi badacz z zakresu cyberbezpieczeństwa znany pod pseudonimem brutecat. Jak opisuje na swoim blogu, wykorzystał on lukę w systemie odzyskiwania kont Google, co umożliwiło mu pozyskanie numeru telefonu przypisanego do niemal dowolnego konta. O sprawie pisze TechCrunch.

Przez błąd Google hakerzy mogli zdobyć numery telefonów klientów

Wykorzystanie błędu opierało się na tak zwanym „łańcuchu ataków” – zestawie kilku powiązanych ze sobą technik, w tym uzyskania pełnej nazwy konta docelowego oraz ominięcia zabezpieczeń antybotowych Google, chroniących przed masowym składaniem wniosków o resetowanie hasła. Kluczowe było też obejście limitów zapytań, co pozwalało w krótkim czasie testować różne kombinacje cyfr i finalnie ustalić numer telefonu powiązany z kontem.

Dzięki automatyzacji całego procesu, brutecat twierdzi, że był w stanie złamać zabezpieczenia w ciągu zaledwie 20 minut – w zależności od długości numeru telefonu. TechCrunch, aby zweryfikować skuteczność tej metody, założył nowe konto Google z unikalnym numerem telefonu i udostępnił badaczowi adres e-mail. W krótkim czasie był on w stanie prawidłowo zidentyfikować powiązany numer.

Ujawnienie prywatnego numeru telefonu może narazić użytkownika na różnego rodzaju ataki, w tym przejęcia kont za pomocą metody SIM swap. Przejęcie numeru pozwala bowiem na resetowanie haseł powiązanych kont, poprzez przechwycenie kodów SMS. Z uwagi na skalę zagrożenia, redakcja TechCrunch wstrzymała publikację szczegółów ataku do momentu, gdy Google oficjalnie potwierdziło usunięcie luki.

Rzeczniczka firmy potwierdziła naprawę błędu i podziękowała badaczowi za zgłoszenie incydentu. – „Zawsze podkreślaliśmy znaczenie współpracy ze społecznością badaczy bezpieczeństwa poprzez nasz program nagród za wykrywanie luk w zabezpieczeniach” – powiedziała w rozmowie z TechCrunch. Google zaznacza, że obecnie nie odnotowano przypadków wykorzystania tej luki w rzeczywistych atakach. W ramach nagrody, brutecat otrzymał od Google 5000 dolarów za swoje odkrycie.

Ostatnio pisaliśmy, że Google zaprezentowało nową usługę subskrypcyjną. Plan o nazwie Google AI Ultra oferuje „najwyższy poziom dostępu” do zaawansowanych technologii AI rozwijanych przez Google i został wyceniony na 249,99 USD miesięcznie. To propozycja skierowana do najbardziej wymagających użytkowników.