Alertă de securitate: Bug-ul care ar putea dezvălui numărul tău privat de telefon de recuperare Google în doar 20 de minute!

Un cercetător independent în domeniul securității informatice a descoperit o vulnerabilitate gravă în sistemul Google, care putea fi exploatată pentru a dezvălui numărul privat de telefon folosit pentru recuperarea contului aproape oricărui utilizator, fără ca acesta să fie alertat. Această breșă expunea milioane de conturi la riscuri majore de confidențialitate și securitate.

Cum funcționa atacul?

Cercetătorul, cunoscut sub pseudonimul brutecat, a explicat pentru TechCrunch că a reușit să obțină numărul de telefon de recuperare al unui cont Google prin exploatarea unui bug din funcția de recuperare a contului. Metoda sa se baza pe un „lanț de atac” compus din mai mulți pași care funcționau sincronizat. Printre aceștia se număra dezvăluirea numelui complet afișat al contului țintă și ocolirea unui mecanism anti-bot implementat de Google pentru a preveni abuzul prin cereri masive de resetare a parolelor.

Ocolirea limitării numărului de încercări a permis cercetătorului să testeze rapid toate combinațiile posibile ale numărului de telefon legat de cont, până a identificat cifrele corecte.

Prețul petrolului sare cu peste 3% după extinderea ofensivei Israelului în Liban

20:46

Generali România, în fața unui caz fără precedent: drona din Galați forțează discuția despre limitele asigurărilor de locuință

18:45

Atacul automatizat și timpul necesar

Prin automatizarea întregului proces cu un script, brutecat a afirmat că poate sparge numărul de telefon de recuperare al unui cont Google în cel mult 20 de minute, în funcție de lungimea numărului.

Pentru a testa eficiența metodei, TechCrunch a creat un cont Google nou, cu un număr de telefon care nu fusese folosit anterior, și i-a furnizat adresa de email cercetătorului. La scurt timp, brutecat a trimis înapoi numărul corect setat.

Riscurile dezvăluirii numărului privat de telefon

Dezvăluirea numărului privat de telefon de recuperare poate expune chiar și conturile Google anonime la atacuri țintite, cum ar fi preluarea controlului contului. Dacă un hacker identifică numărul asociat contului, el poate încerca un atac de tip SIM swap, preluând controlul asupra telefonului victimei. Astfel, atacatorul poate genera coduri de resetare a parolei trimise către acel număr și poate prelua controlul complet asupra contului.

Reacția Google și remedierea vulnerabilității

Având în vedere riscurile majore pentru public, TechCrunch a decis să amâne publicarea articolului până când Google a remediat problema.

„Această problemă a fost rezolvată. Am subliniat întotdeauna importanța colaborării cu comunitatea de cercetare în securitate prin programul nostru de recompense pentru vulnerabilități și dorim să mulțumim cercetătorului pentru semnalarea acestei probleme”, a declarat Kimberly Samra, purtător de cuvânt Google, pentru TechCrunch.

„Contribuțiile cercetătorilor sunt una dintre metodele prin care putem identifica rapid și remedia problemele pentru siguranța utilizatorilor noștri.”

Samra a adăugat că, până în prezent, nu există dovezi clare ale unor exploatări directe ale acestei vulnerabilități.

Recompensa pentru descoperirea bug-ului

Cercetătorul brutecat a primit o recompensă de 5.000 de dolari din partea Google pentru descoperirea și raportarea acestei vulnerabilități.

Această situație subliniază încă o dată cât de importantă este colaborarea dintre companii și comunitatea de securitate cibernetică pentru protejarea datelor și confidențialității utilizatorilor în era digitală.