dev.by

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Support us
Рекламные возможности О проекте Контакты Редполитика Пользовательское соглашение Частые вопросы Вакансии у нас Политика конфиденциальности Публичный договор
Support us
Николай Чикишев world 10 июня 2025, 13:05

Номер телефона любого пользователя Google можно было узнать за 20 минут

Компания закрыла серьезную уязвимость в системе восстановления профиля, которая могла позволить злоумышленникам определить номер телефона, привязанный к любому аккаунту Google.

Оставить комментарий
Номер телефона любого пользователя Google можно было узнать за 20 минут

Компания закрыла серьезную уязвимость в системе восстановления профиля, которая могла позволить злоумышленникам определить номер телефона, привязанный к любому аккаунту Google.

Об этом сообщил независимый исследователь безопасности под псевдонимом BruteCat, обнаруживший баг и получивший от компании награду в размере $5000 через программу Vulnerability Reward Program. По словам исследователя, уязвимость позволяла с высокой точностью восстанавливать номер телефона, указанный для восстановления доступа к аккаунту, причем без уведомления владельца.

С помощью цепочки атак BruteCat смог обойти защиту от ботов, проанализировать отображаемое имя профиля и воспользоваться устаревшей формой восстановления логина без JavaScript, которая не имела современных защитных механизмов. Суть атаки заключалась в переборе возможных номеров с помощью автоматизированного скрипта, который подставлял комбинации цифр в поле формы и анализировал поведение системы.

Используя прокси с ротацией IPv6-адресов и полученные токены BotGuard, BruteCat достиг скорости до 40 000 запросов в секунду, что позволило подобрать номер за считанные минуты. В США — менее чем за 20 минут, в Нидерландах — менее чем за 15 секунд. Чтобы подтвердить уязвимость, издание TechCrunch создало новый аккаунт Google с ранее не использовавшимся номером и передали его адрес исследователю. Спустя короткое время BruteCat прислал полный номер, подтвердив успешную атаку.

Особую опасность уязвимость представляет для владельцев анонимных аккаунтов или активистов, так как знание номера открывает путь к целевым атакам — от социальной инженерии до фишинга. Получив доступ к номеру, злоумышленник может перехватывать SMS с кодами восстановления и получить контроль над множеством сервисов, включая банковские и облачные хранилища. Как выяснилось, утечку можно было ускорить, используя сторонние сервисы, такие как PayPal, которые отображают больше цифр номера при попытке сброса пароля, позволяя сократить количество возможных комбинаций.

Редизайн iOS перевод в реальном времени ИИ для приложений: главные анонсы Apple WWDC 2025
Редизайн iOS, перевод в реальном времени, ИИ для приложений: главные анонсы Apple WWDC 2025
По теме
Редизайн iOS, перевод в реальном времени, ИИ для приложений: главные анонсы Apple WWDC 2025
CEO Google: нужен новый термин для ИИ потому что тот бывает туповат
CEO Google: нужен новый термин для ИИ, потому что тот бывает туповат
По теме
CEO Google: нужен новый термин для ИИ, потому что тот бывает туповат
CEO Perplexity: ИИ-продукты Google ужасны мы создали конкурента Chrome
CEO Perplexity: ИИ-продукты Google ужасны, мы создали конкурента Chrome
По теме
CEO Perplexity: ИИ-продукты Google ужасны, мы создали конкурента Chrome
Как поддержать редакцию, если вы в Польше?

Помогите нам делать больше полезного контента

Оставить комментарий
Текст: Николай Чикишев Источник: TechCrunch Теги: хакеры, узявимость, конфиденциальность, google
Нашли ошибку в тексте-выделите ее и нажмите Ctrl+Enter. Нашли ошибку в тексте-выделите ее и нажмите кнопку «Сообщить об ошибке»."
Сайт компании Вакансии
Размещение рекламы
Размещение рекламы
Размещение рекламы
Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Development
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
На платформе Coursera можно найти сотни курсов от крупных корпораций, включая Google, Amazon и HubSpot. Это отличная возможность начать новую карьеру, повысить квалификацию и просто получить плюс в профессиональную карму. Мы собрали 10 программ от ИТ-компаний, которые помогут освоить машинное обучение, UX-дизайн, продакт-менеджмент, кибербезопасность и многое другое.
Development
Google урезает бюджеты, СЕО намекает на сокращения
Google урезает бюджеты, СЕО намекает на сокращения
Google урезает бюджеты, СЕО намекает на сокращения
2 комментария
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Bubble
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Bubble

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.
Войдите, чтобы оставить комментарий
Размещение рекламы
Размещение рекламы