Исследователь нашел способ раскрытия любого телефонного номера, привязанного к учетной записи Google

Исследователь кибербезопасности brutecat обнаружил уязвимость в учетных записях Google, которая позволяла найти связанный с любой учетной записью номер телефона. Эта информация обычно является частной и чувствительной. Проблема уже устранена, и она представляла риск того, что хакеры с ограниченными ресурсами могли получить доступ к личной информации людей. Brutecat продемонстрировал эксплойт, найдя правильный номер телефона, связанный с адресом Gmail, который был предоставлен для проверки. Процесс включал в себя грубую силу, где хакер быстро пробует различные комбинации цифр или символов, пока не найдет правильный. Brutecat сказал, что грубой силы требуется около часа для номера США, 8 минут для номера Великобритании и менее минуты для номеров других стран. Чтобы воспользоваться уязвимостью, атакующий требует имени отображения Google цели, которое можно получить, передавая владение документом из продукта Google Looker Studio цели. Затем атакующий обстреливает Google предположениями номера телефона, пока не получит попадание, используя пользовательский код. Уязвимость представляла собой значительный риск для приватности, особенно для SIM-швапперов. Проблема уже устранена, и она подчеркивает важность защиты чувствительной информации.