연구자가 구글 계정에 연결된 모든 전화번호를 알아내는 방법을 알아냈습니다

사이버 보안 연구원인 brutecat은 모든 계정에 연결된 전화번호를 찾을 수 있게 하는 Google 계정의 취약점을 발견했습니다. 이 정보는 일반적으로 비공개이고 민감합니다. 이 문제는 이후 수정되었으며, 제한된 자원을 가진 해커들이 사람들의 개인 정보에 접근할 수 있는 위험을 초래했습니다. Brutecat은 테스트용으로 제공된 Gmail 주소에 연결된 정확한 전화번호를 찾아 익스플로잇을 시연했습니다. 이 과정에는 해커가 올바른 것을 찾을 때까지 다양한 숫자나 문자의 조합을 빠르게 시도하는 무차별 대입 공격이 포함되었습니다. Brutecat은 무차별 대입 공격이 미국 번호의 경우 약 1시간, 영국 번호의 경우 8분, 다른 국가의 경우 1분 미만이 걸린다고 말했습니다. 취약점을 악용하려면 공격자는 Google Looker Studio 제품에서 대상에게 문서 소유권을 이전하여 얻을 수 있는 대상의 Google 표시 이름이 필요합니다. 그런 다음 공격자는 커스텀 코드를 사용하여 전화번호에 대한 추측을 Google에 퍼붓고 적중할 때까지 시도합니다. 이 취약점은 특히 SIM 스와퍼에게 심각한 개인 정보 보호 위험을 제기했습니다. 이 문제는 수정되었지만 민감한 정보를 보호하는 것의 중요성을 강조합니다.