Cum îți poate afla toată lumea numărul de telefon prin contul Google: Vulnerabilitatea descoperită de un cercetător
Un cercetător din Singapore a descoperit o vulnerabilitate în serviciul de recuperare Google care permite aflarea numărului de telefon legat de un cont, expunând utilizatorii la riscuri majore.
Problema, semnalată de cercetătorul din Singapore cunoscut sub pseudonimul brutecat, afecta o versiune veche a formularului de recuperare a numelui de utilizator care nu mai este activ în prezent, anunță publicația The Hacker News.
Cum a fost descoperită breșa de securitate de la Google
Formularul vulnerabil, destinat utilizatorilor cu JavaScript dezactivat, putea fi abuzat pentru a verifica în mod automat dacă un anumit număr de telefon era asociat unui cont, în funcție de un nume afișat.
Lipsa protecțiilor anti-abuz (cum ar fi limitarea cererilor sau CAPTCHA) făcea posibilă testarea combinatorie a numerelor într-un interval scurt de timp. În cazul unui număr din Singapore, identificarea completă putea avea loc în 5 secunde, iar pentru un număr din SUA în aproximativ 20 de minute.
Procesul de exploatare presupunea mai mulți pași tehnici: obținerea numelui complet al utilizatorului prin trimiterea unui document în Google Looker Studio, folosirea fluxului „Ai uitat parola” pentru a obține ultimele două cifre ale numărului de telefon mascat și testarea restului de combinații folosind formularul vulnerabil. În final, se putea ajunge la numărul complet de telefon.
Ce poate face escrocul cu numărul de telefon, de fapt
Odată cunoscut numărul, un atacator putea încerca preluarea contului printr-un atac de tip SIM-swapping, adică portarea ilegală a numărului pe o altă cartelă SIM, ceea ce ar permite resetarea parolei contului Google și accesul complet la datele utilizatorului.
Google a fost notificat pe 14 aprilie 2025 și a reacționat pe 6 iunie prin eliminarea completă a formularului vechi, închizând astfel vectorul de atac. Pentru această descoperire, brutecat a fost recompensat cu 5.000 de dolari prin programul de bug bounty.
Aceasta nu este singura breșă raportată de cercetător. În ultimele luni, brutecat a mai găsit două vulnerabilități majore care permiteau identificarea adresei de e-mail a oricărui deținător de canal YouTube.
Într-un alt caz, prin combinarea unei erori din API-ul YouTube cu o componentă a aplicației Pixel Recorder, a reușit să demonstreze accesul la date personale, fiind recompensat cu 10.000 de dolari.
Ulterior, a descoperit și o problemă în endpoint-ul „/get_creator_channels”, prin care era posibilă identificarea canalelor afiliate YouTube Partner Program și accesarea adreselor de email, fiind recompensat cu încă 20.000 de dolari.
Google susține că a corectat toate aceste vulnerabilități și că nu există dovezi că ele ar fi fost exploatate activ.