Вразливість у системі відновлення акаунтів Google дозволяла зловмисникам визначити приватний номер телефону будь-якого користувача, якщо знати лише його email. Компанія вже виправила баг та виплатила $5000 автору знахідки.
Вразливість у системі відновлення акаунтів Google дозволяла зловмисникам визначити приватний номер телефону будь-якого користувача, якщо знати лише його email. Компанія вже виправила баг та виплатила $5000 автору знахідки.
Як повідомляє TechCrunch, незалежний дослідник безпеки під псевдонімом brutecat виявив баг у механізмі відновлення акаунтів Google. Вразливість дозволяла зламати логіку захисту та підібрати номер телефону, який користувач додав для відновлення доступу, при цьому не викликаючи жодного попередження власнику акаунту.
Brutecat створив цілу «ланку атаки»: спочатку алгоритм дізнавався повне відображуване ім’я облікового запису, а потім обходив захист від ботів, що обмежує кількість запитів до функції відновлення пароля. У фіналі скрипт перебирає варіанти номерів і фіксує, коли Google підтверджує правильність частини цифр. Це дозволяло з високою точністю встановити повний номер.
Щоб перевірити працездатність експлойту був створений новий Google-акаунт. Після цього прив’язали унікальний номер телефону, який не використовувався раніше, та надали brutecat лише адресу акаунту. За менш ніж пів години дослідник надіслав правильний номер зі словом «bingo :)».
Google підтвердила існування вразливості й заявила, що її вже усунули. За словами представниці компанії Кімберлі Самри, не виявлено жодних підтверджених випадків експлуатації багу в реальних атаках. Водночас досліднику виплатили $5000 у рамках програми Vulnerability Reward Program.
Отримавши номер, зловмисники можуть спробувати провести SIM-swapping — атаку, яка дозволяє перехопити контроль над обліковими записами через мобільного оператора. Це відкриває доступ до відновлення паролів, банківських додатків, пошти та іншого. Особливо ризикують користувачі, які свідомо не публікують свої номери, наприклад журналісти, правозахисники або активісти.
Системи відновлення доступу через SMS залишаються вразливою точкою в цифровій безпеці. У таких випадках баг навіть без зламу акаунту може розкрити ключову приватну інформацію — персональний номер телефону, що сам по собі є об'єктом ризику.
Цей випадок ще раз підтверджує важливість програми bug bounty та співпраці між компаніями й незалежними дослідниками кібербезпеки.
Нещодавно у нашій новинній стрічці також виходив матеріал про те, як компанія Google закликала користувачів негайно оновити браузер Chrome через високу вразливість, що дає змогу віддаленим зловмисникам викрадати конфіденційні дані з інших сайтів.
