Ein Forscher entdeckte, wie man jede Telefonnummer herausfinden kann, die mit einem Google-Konto verknüpft ist

Ein Cybersicherheitsforscher namens brutecat entdeckte eine Schwachstelle in Google-Konten, die es ermöglichte, die mit jedem Konto verknüpfte Telefonnummer zu finden. Diese Information ist normalerweise privat und sensitiv. Das Problem wurde inzwischen behoben und stellte ein Risiko dar, bei dem Hacker mit begrenzten Ressourcen auf persönliche Informationen zugreifen konnten. Brutecat demonstrierte den Exploit, indem er die korrekte Telefonnummer zu einer für den Test bereitgestellten Gmail-Adresse fand. Der Prozess umfasste das Brute-Forcing, bei dem ein Hacker schnell verschiedene Kombinationen von Ziffern oder Zeichen ausprobiert, bis die richtige gefunden wird. Brutecat sagte, dass das Brute-Forcing etwa eine Stunde für eine US-Nummer, 8 Minuten für eine britische Nummer und weniger als eine Minute für andere Länder dauert. Um die Schwachstelle auszunutzen, benötigt ein Angreifer den Anzeigenamen des Ziels, der durch die Übertragung des Eigentums eines Dokuments von Google's Looker Studio-Produkt an das Ziel erlangt werden kann. Der Angreifer bombardiert dann Google mit Vermutungen der Telefonnummer, bis er einen Treffer erzielt, indem er benutzerdefinierten Code verwendet. Die Schwachstelle stellte ein erhebliches Datenschutzrisiko dar, insbesondere für SIM-Swapper. Das Problem wurde behoben, aber es unterstreicht die Wichtigkeit des Schutzes sensibler Informationen.