研究者が、Googleアカウントに紐づけられた任意の電話番号を明らかにする方法を発見

サイバーセキュリティ研究者のBrutecat氏が、Googleアカウントの脆弱性を発見し、任意のアカウントに紐づけられた電話番号を特定できることが判明しました。この情報は通常、プライベートで機密性の高いものです。この問題はすでに修正されましたが、限られたリソースを持つハッカーが個人の情報にアクセスできるリスクを孕んでいました。Brutecat氏は、テスト用に提供されたGmailアドレスに紐づけられた正しい電話番号を特定することで、この脆弱性を実証しました。そのプロセスには、ハッカーが正しいものを突き止めるまで、様々な数字や文字の組み合わせを高速で試す「ブルートフォース攻撃」が用いられました。Brutecat氏によると、米国の電話番号の場合には約1時間、英国の番号では8分、その他の国では1分もかからずにブルートフォース攻撃が成功するとのことです。この脆弱性を悪用するには、攻撃者は標的のGoogle表示名が必要となります。これは、GoogleのLooker Studio製品から標的にドキュメントの所有権を移譲することで取得できます。その後、攻撃者はカスタムコードを使用して、電話番号の推測をGoogleに集中させ、ヒット（正解）を得るまで繰り返します。この脆弱性は、特にSIMスワッパーにとって、重大なプライバシーリスクをもたらしました。問題は修正されましたが、これは機密情報の保護の重要性を浮き彫りにしています。