Google устранила опасную уязвимость, из-за которой злоумышленники могли получить доступ к номерам телефонов, привязанным к аккаунтам Google.
Исследователь под псевдонимом «brutecat» обнаружил способ обойти защиту от автоматических ботов, которая должна была предотвращать массовую отправку запросов на сброс пароля. С помощью этого обхода он смог перебрать все возможные комбинации и узнать номер телефона, связанный с аккаунтом.
Позже процесс был автоматизирован — номер можно было определить примерно за 20 минут (в зависимости от длины). Такое раскрытие информации открывало ряд рисков: люди, которым важна анонимность, могли стать мишенью для атак.
Кроме того, открытый номер увеличивает риск мошенничества с заменой SIM-карты и фишинга. Злоумышленник, получив контроль над номером, мог сбросить пароли и получить доступ к другим сервисам.
К счастью, Google оперативно исправила уязвимость, и на данный момент нет подтверждённых случаев злоупотребления этой проблемой в реальной жизни.
Источник: TechRadar