Номер телефона любого пользователя Google можно было узнать за 20 минут

Об этом сообщил независимый исследователь безопасности под псевдонимом BruteCat, обнаруживший баг и получивший от компании награду в размере $5000 через программу Vulnerability Reward Program. По словам исследователя, уязвимость позволяла с высокой точностью восстанавливать номер телефона, указанный для восстановления доступа к аккаунту, причем без уведомления владельца.

С помощью цепочки атак BruteCat смог обойти защиту от ботов, проанализировать отображаемое имя профиля и воспользоваться устаревшей формой восстановления логина без JavaScript, которая не имела современных защитных механизмов. Суть атаки заключалась в переборе возможных номеров с помощью автоматизированного скрипта, который подставлял комбинации цифр в поле формы и анализировал поведение системы.

Используя прокси с ротацией IPv6-адресов и полученные токены BotGuard, BruteCat достиг скорости до 40 000 запросов в секунду, что позволило подобрать номер за считанные минуты. В США — менее чем за 20 минут, в Нидерландах — менее чем за 15 секунд. Чтобы подтвердить уязвимость, издание TechCrunch создало новый аккаунт Google с ранее не использовавшимся номером и передали его адрес исследователю. Спустя короткое время BruteCat прислал полный номер, подтвердив успешную атаку.

Особую опасность уязвимость представляет для владельцев анонимных аккаунтов или активистов, так как знание номера открывает путь к целевым атакам — от социальной инженерии до фишинга. Получив доступ к номеру, злоумышленник может перехватывать SMS с кодами восстановления и получить контроль над множеством сервисов, включая банковские и облачные хранилища. Как выяснилось, утечку можно было ускорить, используя сторонние сервисы, такие как PayPal, которые отображают больше цифр номера при попытке сброса пароля, позволяя сократить количество возможных комбинаций.