Уязвимость в Google раскрывала телефоны пользователей — даже по имени и паре цифр

Всё, что нужно было хакеру — ваше имя и пара цифр из номера. Дальше — дело техники. Так работала опасная дыра в системе восстановления учётных записей Google, которую обнаружил исследователь под псевдонимом BruteCat. Уязвимость позволяла вычислить любой привязанный номер телефона — а это ключ к фишингу, взлому аккаунтов и SIM-свапу. Об этом сообщил BleepingComputer.

Суть схемы — в устаревшей форме восстановления логина, которая работала без JavaScript. Защиты там были, мягко говоря, архаичные: минимальная проверка, простенькое ограничение по IP и капча, которую можно было обмануть, подставив валидный токен BotGuard из нормальной версии формы.

BruteCat автоматизировал всё: написал брутфорсер, использовал прокси с IPv6-диапазонами, генерировал BotGuard-токены через headless Chrome и валидные номера через библиотеку libphonenumber. Скорость? До 40 000 запросов в секунду. Найти номер в США — 20 минут, в Нидерландах — 15 секунд.

Но как узнать нужное имя и хотя бы часть номера? Тут тоже всё просто. Google в процессе восстановления аккаунта показывает две цифры привязанного телефона. А некоторые сервисы вроде PayPal выдают ещё больше — до шести цифр. Осталось узнать имя — и это тоже возможно: достаточно переслать пустой документ в Looker Studio на Gmail жертвы. В панели отображается имя владельца — никакой реакции с его стороны не нужно.

Собрав всё вместе, BruteCat получил возможность выяснить, какие номера привязаны к любому Google-аккаунту. А зная номер — можно идти дальше: подбирать SMS-коды, делать SIM-свап и угонять аккаунт.

Google признала уязвимость 22 мая и оценила её как «среднюю». Уже 6 июня уязвимый механизм был полностью отключён. За находку BruteCat получил $5 000 по программе вознаграждений.

Теперь атака невозможна, но её пример отлично показывает, насколько опасны забытые формы и устаревшие механизмы даже в таких IT-гигантах, как Google.