Google оперативно исправила уязвимость, которая позволяла методом перебора угадывать номер телефона для восстановления аккаунта, что могло привести к утечке личных данных и угрозе безопасности пользователей.
Как рассказал сингапурский специалист по безопасности с ником «brutecat», проблема крылась в механизме восстановления аккаунтов на сервисах компании.
Для эксплуатации уязвимости нужно было использовать устаревшую версию формы восстановления имени пользователя Google, где был отключен JavaScript и отсутствовали защиты от массовых запросов.
Эта страница служила для проверки, связан ли конкретный логин (например, «Иван Иванов») с определённым адресом электронной почты или номером телефона для восстановления доступа.
Обход ограничений CAPTCHA позволял за считанные секунды или минуты перебирать все варианты телефонных номеров, связанных с учётной записью — время зависело от длины номера в конкретной стране.
Кроме того, через процесс «Забыли пароль» злоумышленник мог указать код страны и узнать полное имя владельца аккаунта, создав документ в Looker Studio и передав права на него жертве — фамилия и имя отображались на главной странице.
В общем, схема атаки выглядела так:
- Получить отображаемое имя аккаунта Google через Looker Studio
- Запустить процесс восстановления пароля для нужного адреса, чтобы увидеть последние две цифры номера телефона (например, •• ••••••03)
- С помощью перебора подобрать полный номер телефона через форму восстановления имени пользователя
Brutecat сообщил, что номер телефона в Сингапуре можно было раскрыть за 5 секунд, а номер в США — примерно за 20 минут.
Обладая номером телефона, связанным с Google-аккаунтом, злоумышленник мог провести атаку SIM-swapping и получить полный контроль над аккаунтом, изменив пароли во всех связанных сервисах.
После ответственного раскрытия уязвимости 14 апреля 2025 года Google выплатила исследователю $5000 и полностью убрала уязвимую версию формы восстановления имени пользователя 6 июня 2025 года.
Ранее этот же специалист обнаружил другую уязвимость, позволявшую получить Email любого владельца YouTube-канала через цепочку багов в API и старом веб-интерфейсе Pixel Recorder, за что получил $10 000.
В марте brutecat раскрыл, что через ошибку контроля доступа на endpoint "/get_creator_channels" можно получить Email авторов, участвующих в YouTube Partner Program (YPP), за что получил $20 000.
«Проблема контроля доступа в /get_creator_channels раскрывает связь контента с владельцем канала, что приводит к раскрытию Email через Content ID API», — сообщили в Google.
«Злоумышленник с доступом к аккаунту Google, привязанному к каналу в YouTube Partner Program (более 3 миллионов каналов), может узнать Email и данные монетизации любого другого участника программы. Это даёт возможность раскрыть личность блогера или устроить фишинговую атаку.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru