Независимый исследователь по кибербезопасности под псевдонимом brutecat обнаружил уязвимость в системе восстановления аккаунтов Google, которая позволяла узнать привязанный к профилю номер телефона — без уведомления владельца. Угроза затрагивала практически любого пользователя и могла привести к серьёзным рискам для конфиденциальности и безопасности. Google признала наличие проблемы и уже устранила её.
Как сообщил brutecat, суть уязвимости заключалась в цепочке из нескольких процессов: сначала удавалось получить отображаемое имя владельца аккаунта, затем — обойти защиту от автоматических запросов и ограничения на частоту попыток сброса пароля. В результате исследователь смог перебором выяснить привязанный номер телефона, используя специальный скрипт. На это уходило менее 20 минут.
Для проверки TechCrunch создали тестовый аккаунт Google с новым номером, который нигде ранее не использовался. Исследователю передали только e-mail. Спустя короткое время он вернулся с верным номером и прокомментировал находку лаконичным «bingo :)».
По словам специалистов, доступ к привязанному номеру может быть первым шагом для более опасных атак — например, кражи номера через SIM-свап и последующего захвата аккаунта, поскольку к номеру часто привязаны коды восстановления пароля.
Google подтвердила, что баг был исправлен после того, как brutecat сообщил о нём в апреле. Представитель компании Кимберли Самра подчеркнула важность сотрудничества с независимыми исследователями и добавила, что случаев злоупотребления этой уязвимостью зафиксировано не было. За находку Google выплатила brutecat вознаграждение в размере $5000 в рамках своей программы поощрения за найденные баги.
