Как хакер за 20 минут мог узнать ваш номер телефона через Google — опасная уязвимость раскрыта

Исследователь под псевдонимом BruteCat обнаружил серьёзную уязвимость в старой версии формы восстановления имени пользователя Google, которая позволяла по перебору узнать номер телефона, привязанный к аккаунту, если была известна часть номера и имя пользователя. Эта форма, работавшая без использования JavaScript, оказалась недостаточно защищённой, что дало возможность обойти большинство современных механизмов безопасности.

По сути, механизм заключался в том, что форма принимала запросы с именем пользователя и номером телефона, а в ответ возвращала информацию о существовании аккаунта с такими данными. Вся процедура реализовывалась через два POST-запроса, и несмотря на формальные ограничения по числу запросов, их удалось обойти благодаря ротации IPv6-адресов. Использование /64-подсетей позволяло генерировать триллионы уникальных IP, что практически нивелировало лимиты по частоте обращений. Кроме того, защитная CAPTCHA не срабатывала на всех пользователей, поскольку BruteCat удалось получить валидный BotGuard-токен из версии формы, работающей с JavaScript, и подставлять его в запросы.

Для автоматизации перебора исследователь создал специальную утилиту под названием gpb, которая учитывала формат телефонных номеров конкретной страны, использовала библиотеку libphonenumber от Google и управляла BotGuard-токенами через headless-версию браузера Chrome. Эта программа могла отправлять до 40 тысяч запросов в секунду, что значительно ускоряло подбор номера. К примеру, подбор номера в США занимал около 20 минут, в Великобритании — около четырёх минут, а в Нидерландах — всего 15 секунд.

Сокращение времени поиска стало возможным благодаря тому, что часть цифр номера можно было получить из самой формы восстановления аккаунта Google, где открывалось две цифры, а также из сторонних сервисов, таких как PayPal, где при сбросе пароля можно увидеть больше цифр номера. Кроме того, BruteCat использовал обходной путь для получения имейл-адреса пользователя через Looker Studio — создавал документ, который жертва принимала в управление, после чего её имя появлялось в панели управления, давая ключ к аккаунту.

Опасность данной уязвимости заключается в том, что злоумышленник, узнав номер телефона, может начать мошеннические звонки (вишинг) с целью выманить дополнительные данные. Кроме того, существует риск СИМ-свопинга — когда мошенники получают контроль над номером, что открывает доступ к сбросу паролей и контролю над другими важными сервисами пользователя.

BruteCat сообщил о найденной уязвимости в программе вознаграждений Google 14 апреля 2025 года. Сначала компания не придала обнаружению должного значения, однако 22 мая оценка риска была повышена до средней, после чего Google выплатила исследователю вознаграждение в размере пяти тысяч долларов и начала частично исправлять проблему. Финальная ликвидация уязвимости произошла 6 июня, когда была закрыта версия формы, работающая без JavaScript. Информации о том, использовали ли эту уязвимость злоумышленники до её устранения, пока не поступало.