dev.by

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Support us
Рекламные возможности О проекте Контакты Редполитика Пользовательское соглашение Частые вопросы Авторы Политика конфиденциальности Публичный договор
Живете в Польше? Поддержите devby 1,5% налога: бесплатно и за 5 минут 🤗
Support us
Николай Чикишев world 10 июня 2025, 13:05

Номер телефона любого пользователя Google можно было узнать за 20 минут

Компания закрыла серьезную уязвимость в системе восстановления профиля, которая могла позволить злоумышленникам определить номер телефона, привязанный к любому аккаунту Google.

Оставить комментарий
Номер телефона любого пользователя Google можно было узнать за 20 минут

Компания закрыла серьезную уязвимость в системе восстановления профиля, которая могла позволить злоумышленникам определить номер телефона, привязанный к любому аккаунту Google.

Об этом сообщил независимый исследователь безопасности под псевдонимом BruteCat, обнаруживший баг и получивший от компании награду в размере $5000 через программу Vulnerability Reward Program. По словам исследователя, уязвимость позволяла с высокой точностью восстанавливать номер телефона, указанный для восстановления доступа к аккаунту, причем без уведомления владельца.

С помощью цепочки атак BruteCat смог обойти защиту от ботов, проанализировать отображаемое имя профиля и воспользоваться устаревшей формой восстановления логина без JavaScript, которая не имела современных защитных механизмов. Суть атаки заключалась в переборе возможных номеров с помощью автоматизированного скрипта, который подставлял комбинации цифр в поле формы и анализировал поведение системы.

Используя прокси с ротацией IPv6-адресов и полученные токены BotGuard, BruteCat достиг скорости до 40 000 запросов в секунду, что позволило подобрать номер за считанные минуты. В США — менее чем за 20 минут, в Нидерландах — менее чем за 15 секунд. Чтобы подтвердить уязвимость, издание TechCrunch создало новый аккаунт Google с ранее не использовавшимся номером и передали его адрес исследователю. Спустя короткое время BruteCat прислал полный номер, подтвердив успешную атаку.

Особую опасность уязвимость представляет для владельцев анонимных аккаунтов или активистов, так как знание номера открывает путь к целевым атакам — от социальной инженерии до фишинга. Получив доступ к номеру, злоумышленник может перехватывать SMS с кодами восстановления и получить контроль над множеством сервисов, включая банковские и облачные хранилища. Как выяснилось, утечку можно было ускорить, используя сторонние сервисы, такие как PayPal, которые отображают больше цифр номера при попытке сброса пароля, позволяя сократить количество возможных комбинаций.

Редизайн iOS перевод в реальном времени ИИ для приложений: главные анонсы Apple WWDC 2025
Редизайн iOS, перевод в реальном времени, ИИ для приложений: главные анонсы Apple WWDC 2025
По теме
Редизайн iOS, перевод в реальном времени, ИИ для приложений: главные анонсы Apple WWDC 2025
CEO Google: нужен новый термин для ИИ потому что тот бывает туповат
CEO Google: нужен новый термин для ИИ, потому что тот бывает туповат
По теме
CEO Google: нужен новый термин для ИИ, потому что тот бывает туповат
CEO Perplexity: ИИ-продукты Google ужасны мы создали конкурента Chrome
CEO Perplexity: ИИ-продукты Google ужасны, мы создали конкурента Chrome
По теме
CEO Perplexity: ИИ-продукты Google ужасны, мы создали конкурента Chrome
Поддержите редакцию 1,5% налога: бесплатно и за 5 минут

Как помочь, если вы в Польше

Оставить комментарий
Текст: Николай Чикишев Источник: TechCrunch Теги: хакеры, узявимость, конфиденциальность, google
Нашли ошибку в тексте-выделите ее и нажмите Ctrl+Enter. Нашли ошибку в тексте-выделите ее и нажмите кнопку «Сообщить об ошибке»."
Сайт компании Вакансии
Размещение рекламы
Размещение рекламы
Читайте также
BigTech не латарэя. Чаму пашпарт – не галоўная перашкода на шляху да кар’еры ў міжнародных кампаніях
BigTech не латарэя. Чаму пашпарт – не галоўная перашкода на шляху да кар’еры ў міжнародных кампаніях
BigTech не латарэя. Чаму пашпарт – не галоўная перашкода на шляху да кар’еры ў міжнародных кампаніях
Калі мяне пытаюць, чаму беларусам так цяжка выйсці на высокія пазіцыі ў міжнародных карпарацыях, я часта прапаную зрабіць адно практыкаванне. Уявіце: у Менск прыязджае таленавітая менеджэрка з Бразіліі. Яна выдатная прафесіяналка. Але не ведае нюансаў мясцовага рынку. Не разумее, як «дамаўляцца» з пастаўшчыкамі і не счытвае нашых культурных кодаў.  Наколькі рэальна, што яе адразу паставяць кіраваць аддзелам у 50 чалавек на ўмоўнай «Аліварыі»? Нават з улікам таго, што гэта частка глабальнага гіганта, якім з’яўляецца Carlsberg Group. Хутчэй за ўсё, прызначэнне атрымае той, хто 15 гадоў будаваў адносіны на гэтым рынку. І за гэтым рашэннем стаіць бізнес-логіка. Даследаванні пацвярджаюць: 80% вакансій узроўню mid-senior і новых перспектыў прыходзяць да нас менавіта праз нетворк. Няма нетворку, няма і магчымасцяў.  Я распавяду, на што звярнуць увагу, калі будуешь кар’еру ў міжнародных кампаніях. І без якіх маркераў і хітрыкаў нават моцны спецыяліст застанецца нябачным. 
Работа
Google запускает функцию покупок через ИИ-поиск и Gemini
Google запускает функцию покупок через ИИ-поиск и Gemini
Google запускает функцию покупок через ИИ-поиск и Gemini
world
Google предложила части сотрудников уйти по собственному
Google предложила части сотрудников уйти по собственному
Google предложила части сотрудников уйти по собственному
world
Alphabet провела крупнейшее размещение облигаций в своей истории — нужны деньги на ИИ
Alphabet провела крупнейшее размещение облигаций в своей истории — нужны деньги на ИИ
Alphabet провела крупнейшее размещение облигаций в своей истории — нужны деньги на ИИ
world

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.
Войдите, чтобы оставить комментарий