Уязвимость в Google позволяла узнать чужой номер телефона за 20 минут — как это было

Независимый исследователь в области кибербезопасности, известный под псевдонимом Brutecat, выявил опасную уязвимость в системе Google, которая могла привести к серьёзным последствиям для конфиденциальности миллионов пользователей. Суть проблемы заключалась в том, что с помощью особой цепочки действий можно было получить номер телефона, привязанный к аккаунту для восстановления, без ведома его владельца. Более того, на всё требовалось менее 20 минут — именно столько понадобилось исследователю, чтобы продемонстрировать эффективность атаки в реальных условиях.

Как выяснили журналисты TechCrunch, схема, использованная Brutecat, включала несколько этапов. Исследователь сначала получал имя владельца учётной записи и обходил защитные механизмы Google, предназначенные для блокировки автоматизированных запросов. Затем он начинал перебор потенциальных телефонных номеров, пока не получал правильный. Эта так называемая "цепочка атак" оказалась удивительно эффективной и быстрой, несмотря на существующие меры безопасности.

В интересах проверки информации TechCrunch решил провести эксперимент. Журналисты создали новую учётную запись Google, связав её с ранее неиспользованным номером телефона. Brutecat получил лишь адрес электронной почты. Результат не заставил себя ждать: спустя короткое время исследователь назвал точный номер, связанный с аккаунтом. Это подтвердило опасения экспертов — подобная уязвимость могла бы стать первым шагом к ещё более серьёзной атаке, такой как SIM-своп, когда злоумышленник получает контроль над телефонным номером жертвы. С этого момента путь к восстановлению паролей и захвату множества аккаунтов становится открытым.

Google был проинформирован о проблеме в апреле, и компания незамедлительно приступила к её устранению. Представитель Google Кимберли Самра выразила благодарность Brutecat за сотрудничество и подчеркнула, насколько важно взаимодействие с независимыми специалистами в сфере кибербезопасности. За найденную уязвимость исследователю была выплачена награда в размере 5000 долларов в рамках программы вознаграждений за обнаруженные ошибки.

Примечательно, что информация об уязвимости не была опубликована до тех пор, пока проблема не была полностью устранена. TechCrunch намеренно придерживал публикацию, чтобы не допустить потенциального вреда. Представители Google также заверили, что на момент выхода материала ни одного подтверждённого случая использования уязвимости в реальных атаках зафиксировано не было.