Un chercheur a découvert comment révéler tout numéro de téléphone lié à un compte Google

Un chercheur en cybersécurité, brutecat, a découvert une vulnérabilité dans les comptes Google qui permettait de trouver le numéro de téléphone lié à tout compte. Cette information est habituellement privée et sensible. Le problème a depuis été résolu, et il présentait un risque où les hackers avec des ressources limitées auraient pu accéder aux informations personnelles des gens. Brutecat a démontré l'exploit en trouvant le numéro de téléphone correct lié à une adresse Gmail fournie pour les tests. Le processus impliquait une force brute, où un hacker essaie rapidement différentes combinaisons de digits ou de caractères jusqu'à trouver le bon. Brutecat a déclaré que la force brute prend environ une heure pour un numéro américain, 8 minutes pour un numéro britannique, et moins d'une minute pour les autres pays. Pour exploiter la vulnérabilité, un attaquant nécessite le nom d'affichage Google de la cible, qui peut être obtenu en transférant la propriété d'un document de Google Looker Studio au destinataire. L'attaquant bombarde ensuite Google avec des devinettes du numéro de téléphone jusqu'à obtenir un résultat positif en utilisant un code personnalisé. La vulnérabilité présentait un risque important pour la vie privée, en particulier pour les échangeurs de SIM. Le problème a été résolu, mais il souligne l'importance de protéger les informations sensibles.