Un specialist în securitate din Singapore a descoperit o vulnerabilitate în sistemul Google de recuperare a conturilor, permițând accesul la numerele de telefon asociate acestora.
Problema, semnalată de expertul cunoscut sub pseudonimul brutecat, se referea la o versiune depășită a formularului pentru recuperarea numelor de utilizator, actualmente inactivă. Informația a fost făcută publică de publicația The Hacker News.
Cum a fost identificată vulnerabilitatea Google
Formularul vulnerabil, destinat utilizatorilor cu JavaScript dezactivat, putea fi folosit pentru a verifica automat dacă un anumit număr de telefon era asociat unui cont, pe baza numelui utilizatorului.
Lipsa măsurilor de securitate împotriva abuzului (cum ar fi limita cererilor sau CAPTCHA) a permis verificări combinatorii ale numerelor de telefon într-un interval de timp foarte scurt. În Singapore, identificarea unui număr putea avea loc în doar câteva secunde, iar în SUA, în aproximativ 20 de minute.
Exploatarea vulnerabilității presupunea mai mulți pași: obținerea numelui utilizatorului prin intermediul Google Looker Studio, utilizarea funcției „Ai uitat parola” pentru a obține ultimele două cifre ale numărului de telefon și testarea combinațiilor rămase folosind formularul vulnerabil, pentru a afla numărul complet de telefon.
Posibile consecințe ale obținerii numărului de telefon
După obținerea numărului de telefon, un atacator putea încerca preluarea contului prin simulare de schimb SIM (SIM-swapping), act ilegal prin care se transferă numărul pe o altă cartelă SIM. Această acțiune permite resetarea parolei contului Google și accesarea tuturor datelor utilizatorului.
Google a fost informat pe data de 14 aprilie 2025 și a remediat problema pe 6 iunie, prin eliminarea formularului vulnerabil. Pentru descoperire, brutecat a primit o recompensă de 5.000 de dolari prin programul de recompensare pentru raportarea de bug-uri.
Expertul a mai identificat vulnerabilități la Google, inclusiv la platformă YouTube. Printre acestea, a identificat și exploatari prin care se obțineau adresele de email, o metodă de acces la informații personale.
Google a declarat că a corectat aceste vulnerabilități și că nu există dovezi ale exploatării lor.